Projets

SNCF Réseau sécurise le dialogue IT/OT

Yseult Garnier, responsable cybersécurité industrielle, a réussi à combiner les expertises de Seclab et Stormhsield pour protéger les échanges entre IT et OT. (Crédit Photo : Jacques Cheminat)

Si la cybersécurité industrielle est souvent décriée, il y a des initiatives intéressantes pour sécuriser le dialogue entre l'informatique traditionnelle et son pendant industriel. SNCF Réseau a combiné l'expertise de deux acteurs, Seclab et Stormshield, pour protéger les échanges entre ces deux mondes.

PublicitéA l'occasion du FIC (Forum International sur la Cybersécurité), un atelier a mis en avant l'expérience de SNCF Réseau dans le domaine de la cybersécurité industrielle. Devant accompagner la digitalisation de l'entreprise, l'EPIC essaye d'adopter le même niveau de sécurité pour l'informatique traditionnelle (IT) et pour l'informatique industrielle (OT). « Il y avait un besoin de connectivité entre les deux mondes pour répondre aux besoins métiers et pour proposer des offres innovantes aux utilisateurs », explique Yseult Garnier, responsable cybersécurité industrielle, chez SNCF Réseau. Pour dialoguer, la société comprend 4 zones avec des niveaux de sécurité distincts : l'Internet grand public, un internet en mode cloud privé, une zone avec une sécurité supplémentaire et enfin une zone homologuée (en mode coffre-fort).

Sur ce dernier axe, il y avait un besoin de filtrage et d'isolation. « Nous avons alors testé et comparé des solutions de filtrage et d'isolation avec des contraintes particulières pour chacune comme l'évolutivité, la pérennité ou la prise en compte de protocoles propriétaires », rapporte la responsable. Au final, le choix s'est porté sur les solutions de Seclab et de Stormshield, mais une autre question est alors apparue : que faut-il privilégier ? La sécurisation de l'interconnexion réseau ou le filtrage ? Pour Yseult Garnier la réponse tombait sous le sens : les deux, mais encore fallait-il que les deux sociétés acceptent de collaborer. La SNCF Réseau a donc réuni les deux fournisseurs pour parler des enjeux et de la complémentarité des approches. « Si on conçoit la cybersécurité comme un iceberg, il y a une partie visible et immergée en s'appuyant sur le modèle OSI », schématise la responsable où chaque solution a son expertise : sécurité fonctionnelle, filtrage, inspection de paquets.

Ne pas oublier d'enrôler les métiers dans le projet

Concrètement, elle reprend une autre analogie avec des camions et des cartons. Les premiers sont fournis par Seclab et les cartons sont analysés par les solutions Stormshield. Un test a été mis en place en 3 mois et n'a pas nécessité de développement particulier. « Le seul travail a été sur l'intégration des protocoles propriétaires avec la capacité de personnalisation et la reconnaissance de patterns », souligne Yseult Garnier. Un point important, car l'intégration de nouveaux protocoles dans la zone d'échange homologuée.

Si la collaboration a été constructive entre les deux fournisseurs, la responsable insiste beaucoup sur l'intégration des métiers dans le projet. « Les achats par exemple ont été très important dans la réalisation du contrat-cadre. Si on ne les avait pas mis dans la boucle, on aurait pu perdre un an », conclut Yseult Garnier.