Aecom Limited, qui a conclu un accord-cadre sur les services gérés avec Network Rail
Septembre 2019 - janvier 2020
Une cyberattaque sévère, mais plausible, contre le seul réseau.
1er trimestre 2021, l'enquête du gouvernement britannique sur la cybersécurité a révélé que 4 entreprises sur 10 ont subi des cyberattaques.
Produit chimique, nucléaire civil, communication, défense, service d'urgence, énergie, finance, alimentation, gouvernement, santé, espace...
Dans le cadre d'un contrat avec Network Rail (NR) par l'entremise d'Aecom et d'Egis Rail, nous avons été invités à examiner et à mettre à jour un ensemble d'évaluations du Cadre de cyberévaluation (CAF) et à recommander des mesures correctives pratiques, au besoin, aux systèmes de signalisation et d'électrification et d'installation.
Chacun des systèmes critiques identifiés au sein des groupes Signalisation et E&P (Électrification et Installations) a été évalué pour les objectifs du Cadre de cyberévaluation, en utilisant les sources d'information suivantes :
L'approche adoptée pour les évaluations du CAF consistait à fournir un examen technique de chaque système, fondé sur la documentation, les politiques et les procédures disponibles, qui a ensuite été complété par les commentaires du personnel opérationnel ayant une connaissance pratique du système « tel qu'il est exploité ». Cela permet de mieux comprendre le système et de se faire une idée plus réaliste de la vulnérabilité du système aux cybermenaces. Il fournit également des renseignements précieux sur les facteurs organisationnels et culturels qui peuvent être critiques pour l'efficacité des défenses humaines contre les cybermenaces.
Nous avons produit un rapport détaillé portant sur notre évaluation des systèmes critiques d'E&P et de signalisation par rapport au cadre de cyberévaluation du ministère des Transports. Le rapport contenait également des recommandations de mesures correctives, suite à l'évaluation.
Outre des recommandations détaillées de mesures correctives spécifiques au système, le rapport final a identifié un certain nombre de thèmes généraux qui ont permis de mieux comprendre les approches et les activités appropriées susceptibles d’accroître l’efficacité des défenses de Network Rail contre les cyberattaques et les rançongiciels. Ces thèmes communs ont permis de mettre en œuvre une solution plus centralisée pour améliorer la conformité de plusieurs systèmes.
Nous avons proposé des mesures correctives générales et des mesures correctives spécifiques au système dans le rapport final. Les plans de mesures correctives portent sur les aspects suivants :
