Spécification technique TS 50701 : pour la cybersécurité des systèmes ferroviaires
Comme d’autres domaines, le secteur ferroviaire n’échappe pas à la transformation digitale, mobilisant de plus en plus d’infrastructures et d’équipements connectés. Cette évolution représente une source d’amélioration majeure dans la gestion du trafic. Mais elle constitue aussi un risque accru d’incidents de sécurité comme des cyberattaques menées par des hackers toujours plus ingénieux.
Pour assurer une protection optimale contre ces menaces, le Comité européen de normalisation en électronique et électrotechnique (CENELEC) a établi la spécification technique TS 50701. Elle fournit aux exploitants, aux intégrateurs de systèmes et aux fournisseurs de produits ferroviaires des recommandations et des exigences pour gérer la cybersécurité de manière unifiée et efficace sur une base objective.
Le champ d’application de cette spécification technique
La norme CLC/TS 50701 s’applique aux environnements ferroviaires de différents domaines :
Communication
Signalisation
Matériel roulant
Installations fixes…
L’objectif de la TS 50701
Ce référentiel décrit les différentes mesures de cybersécurité à appliquer dans le cadre du processus de cycle de vie RAMS (fiabilité, disponibilité, maintenabilité, sécurité) de la norme EN 50126-1. Ce document donne des directives et décrit les différentes activités de cybersécurité pour la mise en œuvre optimale d’une approche cohérente dans la gestion de la sécurité de chaque infrastructure ou système ferroviaire.
Il s’agit de garantir que les caractéristiques RAMS des systèmes, sous-systèmes et équipements ferroviaires ne peuvent pas être réduites, perdues ou compromises en cas d’attaques intentionnelles (intrusion via un malware…).
Le contenu de ce référentiel en matière de cybersécurité ferroviaire
Ce document fournit des références à des modèles et des concepts à partir desquels il est possible de déduire des exigences et des préconisations. Elles sont adaptées pour garantir que le risque résiduel lié aux menaces de cybersécurité est identifié, surveillé et géré à un niveau acceptable par le responsable du système ou équipement ferroviaire.
La TS 50701 ne traite pas des exigences de sécurité fonctionnelle des systèmes ferroviaires, mais plutôt des exigences supplémentaires au regard des menaces et vulnérabilités de sécurité associées pour lesquelles des mesures spécifiques doivent être prises et gérées tout au long du cycle de vie.
Cette spécification technique sur la cybersécurité ferroviaire couvre des sujets clés comme :
Vue d’ensemble du système ferroviaire
Cybersécurité durant tout le cycle de vie d’une application ferroviaire
Évaluation des risques
Conception de la sécurité des systèmes
Assurance de la cybersécurité
Acceptation du système pour l’exploitation, gestion des vulnérabilités et gestion des correctifs de sécurité informatique.
Bon à savoir :
les modèles de sécurité, concepts et processus d’évaluation des risques décrits dans la CLC/TS 50701 sont basés sur la série de normes IEC 62443. Ils adaptent au domaine ferroviaire notamment l’application des exigences de gestion de la sécurité contenues dans l’IEC 62443-2-1 (elles-mêmes établies à partir de la norme ISO 27001 et de la norme ISO 27002).
Assurance de cybersécurité ferroviaire : les bonnes pratiques
En matière d’assurance de la cybersécurité, le référentiel TS 50701 préconise plusieurs best-practices :
Rédaction d’un Plan de cybersécurité
Analyse préliminaire des risques cyber
Décomposition du système ou de l’équipement (SuC) en zones et conduits
Mise en œuvre d’un Threat Log ou Registre des menaces de cybersécurité
Établissement des exigences de cybersécurité (CRS) applicables au système ou équipement considéré (SuC). Cela comprend les exigences de cybersécurité exportées (vers intégrateur, exploitant, mainteneur…) ou Cybersecurity Related Application Conditions (CRAC).
La rédaction du Dossier de Cybersécurité ou Security Case.
Ce document fournit les preuves et les arguments selon lesquels le système ou équipement tel qu’il est conçu et développé peut être exploité avec le niveau de cybersécurité attendu, c’est-à-dire que les objectifs de cybersécurité identifiés dans l’évaluation des risques liés aux menaces et aboutissant à la Spécification des Exigences en Matière de Cybersécurité sont satisfaits. Il contient également l’ensemble des exigences de cybersécurité exportées.
Vos cookies
En poursuivant votre navigation ou en cliquant sur "Tout accepter", vous acceptez le dépôt de cookies tiers destinés à vous proposer des vidéos, des boutons de partage, des remontées de contenus de plateformes sociales...
Plus d'informations