Voyages-SNCF.com, « un point de vulnérabilité critique »

 

Dans ce document, il est spécifié que dans le secteur des transports, le serveur internet voyages-sncf.com « constitue un point de vulnérabilité critique ». Pas moins. En effet, préviennent les auteurs, tous ingénieurs, « sa défaillance mettrait en péril tout le système d'achats de billets, mais aussi de réservation de sillons (Créneau espace-temps alloué à un train sur une voie ferrée, NDLR), qui repose sur le système d'information du gestionnaire d'infrastructure (GI/GID) ». Le document ajoute alors un fait notable : en cas de défaillance du serveur, « il n'existe plus de systèmes de secours en mode dégradé pour l'achat des billets (réduction drastique du nombre des guichetiers, disparition des horaires papier). »

Cachez cet OIV que je ne saurais voir

Faut-il en déduire que Voyages-SNCF est juridiquement un point ou un opérateur d’infrastructure vitale ? Selon le Code de la Défense, les OIV sont des « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. »

 

Questionnée, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) botte en touche. Et pour cause : « la liste des OIV est classifiée, on ne peut vous répondre ».

 

Le rapport sur la vulnérabilité des réseaux d'infrastructures aux risques naturels prévient aussi que « la liste précise des opérateurs et des points d'importance vitale est classée confidentiel défense ».  Mais le même document dévoile le nom de plusieurs OIV, qu'on pouvait facilement deviner : Réseau ferré de France ou encore la RATP : « La directive nationale de sécurité (DNS) des transports a pris en compte la RATP, classée opérateur d'importance vitale (OIV) ». Cet opérateur comprend « 5 points d'importance vitale, parmi lesquels les trois postes de contrôle de trafic, situés à Bastille, Vincennes et Denfert ». Autre OIV, Aéroport de Paris, avec « quatre points d'importance vitale : les trois plates-formes de Roissy-Charles de Gaulle, Orly, le Bourget, et l'héliport d'Issy-les-Moulineaux. »

Quelles conséquences juridiques ?

Quelles sont les conséquences juridiques d’une telle classification ? L’enjeu tient au rôle attendu des pouvoirs publics « pour assurer la sécurité des installations » que ce soit pour anticiper ou combattre un acte de (cyber)terrorisme ou de malveillance, la survenance d'un risque naturel ou technologique. Ces opérateurs sont ainsi tenus par le Code de la Défense de disposer d’un plan de sécurité qui dresse la liste des points d’importance vitale.

 

La récente loi de programmation militaire a fait peser plusieurs contraintes sur les épaules des OIV. À leurs frais. Ainsi, l'agence nationale de sécurité des systèmes d'information, au nom du premier ministre, est chargée de définir les règles d’hygiène informatique que ces opérateurs ont l’obligation d’appliquer sous peine d’une amende de 150 000 euros. Ces règles peuvent notamment prescrire la mise en œuvre de systèmes de détection des événements « susceptibles d'affecter la sécurité de leurs systèmes d'information ».

 

De même, ces opérateurs doivent informer « sans délai » les services du Premier ministre en cas d’incident affectant le fonctionnement ou la sécurité de leur système d’information.

 

On se souviendra à ce titre que Voyages-SNCF avait connu quelques déraillements dans le passé. Comme en 2008, avec un bug qui permettait d’accéder aux comptes de quelqu’un d’autre. En octobre 2013 lorsqu’on apprenait que le site avait fait fuiter les données confidentielles de millions de clients (nom, prénom, adresse, téléphone, date de naissance), en fait ceux détenteurs d’une carte de fidélité. En 2008 encore ou en 2010, le site avait souffert de pannes durant plusieurs heures.