Si les utilisateurs métiers demandes des applications afin d’accéder à distance aux installations placées sur les voies ferrés, l’enjeu en termes de cybersécurité est critique. Pour faire face à ces enjeux, SNCF Réseau mise sur la complémentarité entre les offres Seclab et Stormshield.
La digitalisation des entreprises touche tous les secteurs d’activité et SNCF Réseau n’y échappe pas. Le numérique se généralise dans l’entreprise, y compris dans la gestion du réseau ferré. C’est notamment le cas de la gestion et de la maintenance de tous les équipements installés en bord de voie, qu’il s’agisse de la signalisation, les réseaux télécoms et les équipements d’alimentation électrique. « Un mainteneur, un exploitant chez lui dispose d’un smartphone, d’une tablette numérique et il souhaite disposer des mêmes outils dans son métier. L’exploitant voudrait consulter toutes les alarmes générées par les équipements sur une tablette en temps réel plutôt que devoir se déplacer pour y avoir accès » explique Yseult Garnier, responsable de la cybersécurité Industrielle pour SNCF Réseau. « Notre problème était d’amener une donnée issue d’un système industriel jusqu’aux outils numériques de l’exploitant. A l’opposé du monde IT où les applications sont centralisées dans des datacenters, ces systèmes industriels représentent relativement peu d’applications, mais leur déploiement est très large. »
Le défi de SNCF Réseau : sécuriser la connexion entre système IT et OT
Face à des besoins métier forts, l’enjeu de SNCF Réseau était de créer une interface directe entre ses systèmes industriels et le système conventionnel de gestion opérationnelle des circulations afin d’avoir des informations temps réel et délivrer une information cohérente à ses utilisateurs. Yseult Garnier ajoute : « Ces grands enjeux nous ont poussés à vouloir interconnecter ces deux mondes dont les temporalités sont différentes, avec d’un côté des systèmes industriels (OT) dont la durée de vie est d’une trentaine d’années, et de l’autre des systèmes IT renouvelés tous les 5 ans. Cela pose des problèmes d’interconnexion mais cela pose aussi le problème du risque cyber sur ces équipements industriels et réciproquement car le maintien en condition de sécurité du SI de nos systèmes ne répond pas non plus au même cycle de vie ni aux mêmes contraintes opérationnelles. »
L’enjeu était donc de maintenir l’isolation des systèmes industriels tout en maîtrisant totalement le contenu des flux de données qui allaient être échangés entre l’IT et l’OT. « Nous avons d’une part réfléchi aux solutions d’isolation afin de réaliser un filtrage flux par flux des données industrielles pour une maîtrise complète. Stormshield répondait à ce besoin ; de plus, nous avions besoin d’adresser des protocoles réseaux propriétaires et cette technologie labélisée par l’ANSSI peut effectivement les manipuler. En outre, nous prévoyons une croissance forte de ces échanges dans l’avenir avec une garantie de latence réduite qui nécessite une garantie de performance accrue. Le résultat de nos tests a démontré que Stormshield répondait le mieux à nos contraintes. » Plutôt que miser uniquement sur l’isolation avec des solutions de type diode réseau ou de s’appuyer seulement sur le filtrage des flux d’un firewall, l’équipe cybersécurité a choisi de coupler les deux approches.
La solution d’un tandem Seclab + Stormshield finalement choisie par SNCF Réseau
La passerelle réseau Seclab est alors sélectionnée car c’est la seule solution qui permettait de mettre en place une isolation au niveau électronique des réseaux en complément du firewall SNS de Stormshield. Xavier Facélina, CEO de Seclab, explique les atouts de sa solution : « L’isolation répond à la question de ce qui se passe si le firewall est battu. Si c’est le cas, alors l’attaquant est passé alors qu’avec une solution d’isolation, le trafic est coupé s’il se produit une attaque. C’est la somme des deux technologies Stormshield et Seclab qui permet d’avoir le niveau de filtrage du firewall Stormshield qui est impossible d’implémenter en électronique et le niveau de fiabilité du boitier électronique dont le fonctionnement ne peut être altéré par l’attaquant. » Pour le firewall, SNCF Réseau s’est intéressé aux boitiers de Stormshield, notamment pour leurs capacités d’analyses des réseaux industriels, et notamment pour le fait que la SNCF Réseau, comme de nombreux industriels, utilise des protocoles non standards.
Les données de maintenance, les premières à bénéficier de la nouvelle architecture de sécurité
Le réseau OT de SNCF Réseau étant national, l’infrastructure de sécurité, la passerelle et le firewall de grande puissance, a été centralisé. « Les premières réflexions ont été menées en 2017 l’intégration fin 2018 et aujourd’hui nous déployons les flux les uns après les autres » détaille Yseult Garnier. « Nous avons commencé par les flux relatifs à la maintenance des équipements : les mainteneurs disposent d’une application qui leur permet de prendre connaissance de l’état des équipements qui posent problème de manière centralisée alors que cette opération était jusqu’alors très complexe tenant compte de la multiplicité des systèmes en place sur nos installations critiques» Prochain flux à bénéficier de cette architecture de sécurité, les données d’exploitation ferroviaire. Là encore, interconnecter les systèmes de gestion de la circulation avec les systèmes de contrôle commande présente de gros enjeux en termes de sécurité. La nouvelle architecture de sécurité couplant Seclab et Stormshield permet de rester sereine quant à la mise en place de ce flux.
A lire également Dossier – La sécurité des réseaux industriels : quelles solutions pour un enjeu brûlant ?
Auteur : Alain Clapaud
