Établir les exigences de sécurité pour une unité embarquée de localisation des trains (TLOBU) basée sur le GNSS
Portée du projet et défis attendus
Le but du projet CLUG est d’établir la faisabilité, dans l’environnement ferroviaire, de nouvelles architectures et concepts de localisation certifiables, utilisant le GNSS (Global Navigation Satellite System). Pour mener à bien ce projet, deux unités de localisation embarquées, basées sur le GNSS sont conçues et testées. La sécurité ferroviaire étant amenée à prendre de l’importance dans les années à venir, leurs architectures se concentrent essentiellement sur le respect des exigences strictes en matière de sûreté.
Cette préoccupation croissante en matière de sécurité a déjà commencé, au sein de l’Union européenne, avec la directive sur les réseaux et les systèmes d’information (NIS) de juillet 2016. Celle-ci se concentre sur la signalisation et les systèmes de commande, mais les prochaines évolutions devraient sans aucun doute concerner les normes de cybersécurité, dans un environnement ferroviaire toujours plus électrique et électronique, comme cela s’est d’ailleurs déjà produit dans d’autres domaines, avec la norme Réseaux de communication industriels (CEI 62443) ou celle sur les systèmes électriques et électroniques (E/E) dans les véhicules routiers (ISO/SAE 21434).
L’analyse de sécurité réalisée dans le cadre du projet CLUG vise à anticiper l’émergence de normes de cybersécurité ferroviaire et à jeter les bases d’une unité de localisation ferroviaire embarquée (TLOBU / Train Localisation On Board Unit) sécurisée et certifiable.
Première étape : déterminer des menaces et des vulnérabilités
Après avoir étudié l’architecture, les menaces et les vulnérabilités d’une unité TLOBU, six menaces de haut niveau ont été étudiées pour le TLOBU du projet CLUG :
- T.1: TLOBU contrefaçon;
- T.2: TLOBU piratage des services input (spoofing);
- T.3: Erreur dans les mesures des capteurs;
- T.4: Erreur dans les données de la carte numérique;
- T.5: TLOBU piratage de l’output;
- T.6: TLOBU déni de service.
L’évaluation des risques pour ces menaces de haut niveau a démontré que celles concernant le piratage (spoofing) des services Input et le déni de service (DoS) sont les risques les plus critiques pour TLOBU. En outre, la contrefaçon ainsi que les menaces d’erreur des capteurs TLOBU ont été identifiées comme des risques indésirables qui doivent également être atténués par des mesures de sécurité appropriées.
Figure 1: Risk matrix representation of the top level TLOBU threats
Établir les exigences de sûreté des systèmes ferroviaires TLOBU :
Le rapport de sûreté du projet CLUG permet de créer une fiche de protection précisant les exigences en matière de sûreté pour la conception d’un système TLOBU basé sur le GNSS et certifié en matière de sûreté opérationnelle.
Les exigences en matière de sécurité ont été élaborées afin d’atténuer ou de contrôler les niveaux de risque associés aux menaces TLOBU identifiées. Ces exigences de sécurité s’appliquent à plusieurs niveaux de TLOBU afin que, dans l’hypothèse où une première protection échoue, une autre peut intervenir immédiatement (concept de défense en profondeur). Au total, six couches TLOBU ont été prises en compte lors de l’élaboration des exigences de sécurité :
- Norme, sensibilisation et procédures (couche 1) : désigne les normes à appliquer lors de la conception d’une unité TLOBU sécurisée, la formation à la sécurité à fournir aux utilisateurs et administrateurs de TLOBU, ainsi que les procédures à élaborer en cas d’incident de sécurité TLOBU.
- TLOBU Protection physique (couche 2) : désigne les contrôles d’accès matériels, ainsi que le filtrage des intervenants à mettre en œuvre pour la protection physique de TLOBU et de ses capteurs.
- TLOBU Périmètre (couche 3) : désigne les capteurs (IMU, odomètre, lecteur de balises) et les services (GNSS, SBAS, mises à jour de la base de données TLOBU) fournissant les données entrantes, ainsi que les données TLOBU sortantes, fournies par l’interface de sortie aux systèmes ferroviaires.
- TLOBU Matériel / hardware (couche 4) : désigne les contre-mesures requises contre les menaces matérielles TLOBU identifiées.
- TLOBU Logiciel / Software (couche 5) : désigne les contre-mesures requises contre les menaces logicielles TLOBU identifiées.
- TLOBU Mémoire (couche 6) : désigne les protections requises pour protéger les données stockées dans la mémoire TLOBU, ainsi que la base de données de la carte numérique.
Chacune des exigences de sécurité identifiées a été associée à différents objectifs de niveaux de sécurité (tels que définis dans la norme CEI 62443) afin de définir le produit TLOBU à développer :
SL1 – Niveau initial : Peu de mesures de sécurité TLOBU sont en place ou sont documentées. Le TLOBU fournit un bon niveau d’assurance contre les infractions occasionnelles ou fortuites (menaces identifiées comme étant certaines).
SL2 – Niveau de gestion : Des mesures de sécurité intermédiaires sont en place et fournissent une assurance face aux pirates amateurs qui disposent d’équipements standards et d’un temps limité pour exécuter les attaques (menaces probables et possibles). Le TLOBU est documenté, mais les intervenants ne respectent pas toujours de manière strictes les consignes de sécurité lorsqu’ils interagissent avec le TLOBU.
SL3 – Niveau précis : De bonnes mesures de sécurité sont en place et fournissent une assurance contre les pirates compétents avec du matériel spécialisé et plusieurs semaines pour exécuter l’attaque (menaces peu probables). Le TLOBU est documenté et bien utilisé par les intervenants.
SL4 – Niveau renforcé : des mesures de sécurité rigoureuses sont en place, TLOBU est documentée et bien utilisée par les intervenants. Le programme de sécurité TLOBU est mis à jour régulièrement afin d’améliorer la gouvernance et les solutions techniques. Les mesures de sécurité offrent une assurance contre les menaces complexes et à distance.
L’application de ces mesures à chaque couche de défense TLOBU devrait permettre de réduire et de contrôler les risques associés aux menaces identifiées, du moins à un niveau tolérable. Toutefois, même à un niveau tolérable, les risques identifiés doivent être surveillés activement par les parties prenantes de l’unité TLOBU afin que les contre-mesures et les moyens de protection soient toujours adaptés aux menaces, en constante évolution.
Toutes ces exigences de sécurité ont été identifiées dans notre étude, mais ne sont pas mises en œuvre dans le prototype actuel. Par conséquent, ce travail sera effectué à titre de développement complémentaire à l’avenir.