Le secteur ferroviaire a besoin d’une harmonisation de la législation européenne en matière de cybersécurité

Marta García, responsable des affaires techniques à l’Association européenne de l’industrie ferroviaire (UNIFE), nous éclaire sur le cadre législatif actuel en matière de cybersécurité qui a un impact sur l’industrie ferroviaire, ainsi que sur le besoin urgent d’harmonisation et de collaboration à travers l’Europe.

Les chemins de fer s’appuyant de plus en plus sur des systèmes interconnectés et des technologies numériques, il est essentiel de mettre en place des mesures de cybersécurité solides pour maintenir l’intégrité et la fiabilité des réseaux ferroviaires. Alors que l’Union européenne est confrontée à l’évolution des menaces liées à la cybersécurité, il devient impératif d’examiner la législation existante et de relever les défis uniques auxquels est confronté le secteur ferroviaire.

Intervieweur : Quelles sont les législations ou les propositions en matière de cybersécurité qui ont une incidence sur le secteur ferroviaire et qui existent déjà au niveau européen ?

Marta García : « Il existe de nombreuses législations et propositions horizontales, qui touchent de nombreux secteurs, y compris le secteur ferroviaire. Suite à la stratégie de cybersécurité de l’UE publiée en 2020, la directive Network and Information Security 2 (NIS2) est actuellement en cours de transposition dans chaque État membre. La loi sur la cyber-résilience (CRA), qui comprend la cybersécurité dès la conception, la certification et une phase de maintenance avec des obligations de reporting, a abouti à un accord préliminaire en novembre 2023, impactant notre secteur de manière significative, en particulier au sein de la chaîne d’approvisionnement. La directive sur les équipements radioélectriques (RED) a également une influence sur le secteur ferroviaire, entre autres. »

Interviewer : Quelles sont les principales préoccupations des membres de l’UNIFE en matière de cybersécurité ?

Marta García : « La cybersécurité est une priorité essentielle pour l’UNIFE, en particulier la garantie d’un niveau correct de cybersécurité et de protection des infrastructures critiques. Notre principale préoccupation est de parvenir à une approche unifiée dans toute l’Europe, à une harmonisation, en veillant tout particulièrement à éviter la duplication des efforts dans la législation. Il existe de nombreuses initiatives horizontales au niveau européen, avec des détails techniques sur la certification et les normes à utiliser, et en parallèle d’importantes réglementations verticales telles que la directive sur l’interopérabilité qui comprend ses processus. La coordination entre les cadres horizontaux et verticaux est cruciale pour éviter les chevauchements et établir un cadre unifié adapté aux complexités du secteur ferroviaire ».

Interviewer : Quelles sont les questions liées à la cybersécurité que l’UNIFE considère actuellement comme les plus urgentes à traiter au niveau européen ?

Marta García : « La cybersécurité est une priorité absolue pour l’Europe en raison de la situation géopolitique actuelle et de l’évolution constante du paysage des menaces. La sensibilisation tout au long de la chaîne d’approvisionnement, en particulier en ce qui concerne les réglementations ayant un impact comme la loi sur la cyber-résilience (CRA), est essentielle pour que les entreprises soient prêtes à relever les grands défis que la réglementation propose. Cette loi modifie les exigences en matière de conception des produits et a un impact significatif sur les fabricants de tous les secteurs. Les PME sont très importantes dans la chaîne d’approvisionnement ferroviaire et il est de la plus haute importance d’éviter les perturbations ».

Interviewer : Pouvez-vous nous en dire plus sur les grandes lignes de la législation en matière de cybersécurité qui a un impact sur le secteur ferroviaire et qui est actuellement examinée par les décideurs politiques ? Quels seront, selon vous, les effets de cette législation sur la capacité du secteur ferroviaire à se protéger contre les cybermenaces ?

Marta García : « La proposition législative relative à la loi sur la résilience cybernétique (CRA) a fait l’objet d’un accord préliminaire en novembre 2023 et sera officiellement votée dans les mois à venir. L’UNIFE et ses membres se sont activement engagés avec les colégislateurs au cours de l’année écoulée afin de mieux adapter cet important texte législatif à la complexité du secteur ferroviaire ; en fin de compte, il s’agit d’une proposition intersectorielle applicable à la plupart des secteurs en Europe. Cette législation impose toutes les obligations aux fabricants et poursuit plusieurs objectifs clés, notamment la mise en œuvre de la cybersécurité dès la conception, l’établissement d’une phase de maintenance pour la fourniture de correctifs destinés à remédier aux vulnérabilités, l’obligation de signaler les vulnérabilités exploitées et l’imposition d’obligations en matière de communication d’informations.

Le non-respect de la législation peut donner lieu à des amendes considérables et avoir des répercussions sur l’ensemble de la gestion de la chaîne d’approvisionnement. Tout fabricant mettant sur le marché un produit ou un logiciel connecté numériquement doit se conformer à ce règlement. Bien qu’il puisse augmenter les coûts au départ, il s’agit en fin de compte d’un investissement dans le renforcement de la cybersécurité dans tous les secteurs.

D’autres parties prenantes verront leurs coûts augmenter en raison de la mise en œuvre de la cybersécurité dès la conception et des exigences de certification. Cela implique non seulement de mettre en œuvre des contrôles et des mesures de cybersécurité, mais aussi de se soumettre à une certification, soit par auto-évaluation, soit par évaluation par un tiers. La charge supplémentaire comprend le respect des obligations en matière de rapports et les relations avec les autorités. En tant que telle, la loi sur la cyber-résilience (CRA) est celle qui a le plus d’impact sur les membres de l’UNIFE ».

Intervieweur : Qu’est-ce que cette législation pourrait signifier pour les petites et moyennes entreprises (PME) qui développent cette technologie à travers l’Europe ?

Marta García : « Les PME et les grandes entreprises qui intègrent des produits devront se conformer aux exigences de cybersécurité, y compris la cybersécurité dès la conception. Ce processus de diligence raisonnable sera nécessaire pour tous les acteurs de la chaîne d’approvisionnement qui intègrent différents produits.

L’adaptation à la nouvelle méthodologie de l’ARC pose des problèmes, en particulier pour les petites et moyennes entreprises (PME), qui pourraient avoir besoin d’embaucher du personnel pour naviguer dans le processus et assurer la conformité avec les exigences spécifiques des produits. Une demande de normalisation a déjà été envoyée à l’Organisme européen de normalisation (OEN) pour se conformer aux exigences techniques de l’annexe I de la loi sur la cyberrésilience, qui sera élaborée en même temps que le processus d’approbation législative. Ce développement continu ajoute à la complexité et à l’incertitude entourant la législation ».

Interviewer : En quoi le secteur ferroviaire diffère-t-il des autres en matière de cybersécurité ?

Marta García : « La complexité et la nature critique du secteur ferroviaire nécessitent des réglementations adaptées. Il est essentiel de tenir compte de ces complexités pour éviter les charges excessives et les chevauchements de réglementations. »

Il est également essentiel de souligner que le secteur ferroviaire, qui englobe les opérateurs, les entreprises ferroviaires, les gestionnaires d’infrastructure et les parties prenantes de l’industrie, est collectivement à l’origine d’efforts importants en faveur de la normalisation de la cybersécurité. Les efforts en cours en matière de normalisation de la cybersécurité, tels que TS50701 et sa migration actuelle vers IEC63452, qui sera publiée en 2025, sont et seront bien reconnus aux niveaux européen et international. Cela montre l’approche proactive du secteur ferroviaire et sert de référence pour d’autres qui cherchent des conseils en matière de normalisation de la cybersécurité.

Conclusion

Alors que le secteur ferroviaire européen navigue dans les méandres de la législation sur la cybersécurité, il est évident qu’une approche unifiée et coordonnée est essentielle pour atténuer les risques et garantir la résilience. Des initiatives telles que la loi sur la résilience cybernétique (CRA) étant sur le point de façonner l’avenir de la cybersécurité dans le secteur ferroviaire, il devient impératif pour les parties prenantes d’accroître la sensibilisation, de favoriser la collaboration et de s’adapter à l’évolution des exigences réglementaires. En répondant aux préoccupations soulevées par l’UNIFE et d’autres acteurs du secteur, les décideurs politiques peuvent ouvrir la voie à une infrastructure ferroviaire plus sûre et plus résiliente, prête à relever les défis de l’ère numérique.

Pour en savoir plus :

• Les femmes dans le rail : la moitié des passagers, 22 % des travailleurs
• RailTech Europe ’24 : faire progresser la numérisation dans le secteur ferroviaire européen
• RailTech Europe ’24 : des communications cybersécurisées pour les trains sans conducteur
• Cybersécurité des systèmes ferroviaires : comment la maintenir à l’ère numérique ?