- Dans le cadre de l’examen de la Loi sur la sécurité ferroviaire de 2017-2018
Préparé par : Critical Systems Labs
Une étude a été entreprise pour aider le Comité d’examen de la Loi sur la sécurité ferroviaire (LSF) de 201-2018 à évaluer la façon de traiter les menaces de la cyber sécurité à la sécurité ferroviaire au moyen de la LSF, de ses règlements et des normes qui s’y rattachent. Cette étude passe en revue et étudie:
- la sécurité ferroviaire dans un contexte de cyber menaces;
- les règlements et les normes en matière de transport ferroviaire; et
- les mesures de cyber sécurité dans les autres pays et secteurs de transport.
Les juridictions examinées comprennent: le Canada, les États-Unis, le Royaume-Uni et l’Union européenne.
Le système type de contrôle de la circulation ferroviaire est décrit et analysé dans une perspective de cyber sécurité. Cela inclut les types d'attaques que ces systèmes (par exemple, le centre de contrôle ferroviaire, l’équipement en bordure de voie ou à bord des trains) peuvent rencontrer. Des renseignements sensibles bidirectionnels communiqués aux systèmes en voie pourraient être interceptés et servir à des attaques terroristes physiques. Des exemples d’attaques contre les systèmes essentiels à la sécurité sont fournis.
Un examen des efforts internationaux en matière de cyber sécurité dans d’autres secteurs de transport (p. ex. aérien, maritime et routier) révèle que l’Union européenne compte mettre en œuvre une législation sur la cyber sécurité en 2018. De leur côté, le Royaume-Uni et les États-Unis ont publié des instructions sur la cyber sécurité pour l’infrastructure essentielle (y compris le transport ferroviaire). En 2010, Sécurité publique Canada a publié deux documents relatifs au même sujet : la Stratégie nationale sur les infrastructures essentielles et la Stratégie de cyber sécurité du Canada.
Actuellement, il n’existe aucune norme en matière de cyber sécurité pour les systèmes ferroviaires, à part des documents d’orientation de l’American Public Transportation Association (APTA) et du ministère des Transports du Royaume-Uni. Pour sa part, Transports Canada traite de la sûreté ferroviaire par le biais d’un protocole d’entente (PE) avec l’Association des chemins de fer du Canada. Il le fait aussi en proposant des modifications à la réglementation sur le transport des marchandises dangereuses. Il est important de noter que ces documents ne portent pas spécialement sur la cyber sécurité.
Cette étude formule cinq recommandations pour effectuer des changements à la LSF et à ses programmes connexes afin de traiter la cyber sécurité:
- déterminer si la législation actuelle sur les transports couvre la cyber sécurité;
- préciser le rôle de Transports Canada dans la stratégie de cyber sécurité;
- mettre sur pied un groupe de travail sur la cyber sécurité des transports;
- publier des instructions de cyber sécurité pour les systèmes de transport; et
- étendre le protocole d’entente sur la sûreté ferroviaire ainsi que les modifications proposées en matière de sûreté à la réglementation sur le transport des marchandises dangereuses afin que les plans de sûreté des exploitants ferroviaires tiennent compte de la cybernétique.
En conclusion, les systèmes ferroviaires peuvent être assujettis à des cyberattaques pouvant entraîner une perturbation de l’exploitation ferroviaire et influencer la sécurité. Ils doivent intégrer la sécurité ainsi que la sûreté et être gérés au niveau du système et pas seulement au niveau de la technologie de l’information (TI). Même si des documents peuvent être consultés en ce qui concerne les systèmes de contrôle de l’industrie et l’infrastructure essentielle, et s’appliquer, de façon générale, aux systèmes de contrôle ferroviaires, ils ne tiennent pas compte de l’impact des menaces de cyber sécurité sur la sécurité.