Créer un cadre de cybersécurité opérationnel pour Alptransit Gothard

Le contexte

Le transport ferroviaire occupe une place importante en Suisse. Pour assurer des déplacements sûrs, rapides et en phase avec le monde moderne, l’infrastructure en place dans le pays doit répondre à une liste d’exigences toujours plus longue. Dans ce contexte, la capacité et la complexité croissantes de l’infrastructure de tunnels électroniques, le cycle de vie long de la technologie opérationnelle (OT), le matériel et les logiciels impliqués et les standards élevés en matière de disponibilité – qui supposent un degré de prévision lui-même élevé – impliquent que les actions de cybersécurité doivent être planifiées et mises en œuvre de manière parfaitement fluide.

Alptransit Gothard est la filiale de la SBB (la Compagnie des Chemins de fer fédéraux suisse) qui a assuré la construction de l’axe du Saint-Gothard sur la nouvelle liaison ferroviaire à travers les Alpes. Elle a contacté Eraneos pour l’aider à créer un cadre de cybersécurité OT. Cela comprenait notamment la conception de rapports et d’outils de communication, l’attribution des responsabilités et des tâches, ainsi que la définition, la mise en œuvre et le contrôle des mesures de sécurité. Il s’agissait d’un projet de grande envergure, mais Eraneos n’a pas hésité un seul instant à apporter son aide.

L’approche

Nous avons abordé ce grand chantier en établissant les points clé de cybersécurité dans l’environnement OT du tunnel. Il s’agissait d’un facteur important qui nécessitait une coopération et une coordination totales de toutes les parties. Une fois ces points posés, nous avons défini les rôles, les tâches et les responsabilités dans l’organisation du projet, défini le périmètre et la zone d’application, et mis en place une logique de rapports périodiques sur la sécurité des TIC, destinés à l’opérateur et au client.

Une fois tous les aspects organisationnels traités, nous nous sommes concentrés sur la définition concrète des mesures techniques et des process. Il s’agissait notamment d’assurer le suivi de la mise en œuvre des mesures et de la preuve de conformité des entrepreneurs. En raison des longues chaînes d’approvisionnement couramment observées au sein des environnements OT, une attention particulière a également été accordée à l’accompagnement des sous-traitants et des tiers dans toutes les activités liées à la sécurité des TIC.

Le résultat

Sur une période couvrant près de deux décennies, nous avons contribué à la planification, à la mise en œuvre et au contrôle des mesures de cybersécurité dans l’environnement OT complexe de ce chantier.
 
Dans le cadre des mesures de sécurité des TIC, nous avons introduit des mesures modernes de renforcement et de protection telles que le contrôle d’accès au réseau et le contrôle d’accès pour sa gestion. La sécurité du réseau a également été prouvée et assurée au moyen de tests et d’audits réalisés en plusieurs vagues.
 
En parallèle, nous avons contribué à la planification et à la mise en œuvre en temps voulu des mesures de sécurité afin d’accompagner le projet dans l’atteinte de ses objectifs et le respect des délais fixés. Grâce à une communication et une prévision bien pensées, nous avons fait des efforts liés à la cybersécurité une partie intégrante du projet global, conformément aux objectifs commerciaux d’AlpTransit Gothard.