Le 19 juillet 2024, 8,5 millions d'utilisateurs de Microsoft ont eu une grosse frayeur: le redouté «blue screen of death», ou «écran bleu de la mort», leur est apparu. Il indique qu'une grave erreur s'est produite et que le système ne peut plus démarrer.
Ce bug d'une ampleur historique a interrompu le trafic aérien autour de la planète, paralysé des hôpitaux et mis les administrations hors service. Les dommages sont estimés à dix milliards de dollars. C'est une mise à jour défectueuse du fournisseur de logiciels Crowdstrike qui aurait provoqué la pagaille. La panne a également eu des conséquences directes sur le cloud de Microsoft: certaines entreprises ne pouvaient plus accéder à leurs données.
Et le trafic ferroviaire suisse n'est pas à l'abri d'une situation similaire. Car, comme beaucoup d'autres, les entreprises de transport locales externalisent la gestion de leurs données. Selon l'Office fédéral des transports (OFT), elles ont recours, entre autres, à «des instruments numériques pour les installations de sécurité, des systèmes de contrôle ferroviaire, de maintenance ainsi que des données et applications pour l'alimentation en courant».
L'externalisation offre une certaine flexibilité et fait baisser les coûts d'investissement. Mais elle comporte aussi des inconvénients. Dans une récente lettre aux différentes compagnies, l'OFT mettait en garde contre des «risques de perte de contrôle, avec les répercussions que cela implique au niveau de la sécurité de l'exploitation». Jusqu'à présent, aucune règlementation fédérale n'encadre l'utilisation du «cloud computing».
L'office d'Albert Rösti, ministre des Transports, a donc concrétisé ses directives. Les entreprises doivent désormais étudier le «risque de défaillance du cloud qui pourrait impacter l'exploitation ou la sécurité». Dans les faits, elles doivent par exemple déterminer la probabilité et l'ampleur d'une panne.
Ce n'est qu'après cela et l'estimation du risque résiduel que l'on pourra passer aux solutions cloud. Il faut en outre prévoir «des mesures de compensation et procéder à une analyse par écrit». La Confédération dit vouloir «intensifier» ses contrôles à l'avenir.
Les CFF se disent préparés pour cela. Ils affirment veiller continuellement à tout risque de panne. Le cas échéant, la compagnie dispose de plans appropriés. Elle aurait par ailleurs intégré les attentes de Berne dans la stratégie IT:
La gestion des données ne constitue pas le seul point vulnérable du trafic ferroviaire. En juin 2023, les CFF ont été la cible de pirates russes qui ont paralysé la boutique de billets par une attaque dite «par déni de service» (DDos). Cela a aussi perturbé l'accès au log-in du Swisspass et au site de la Südostbahn.
Mais les CFF avaient là encore pris des dispositions. Ils ont créé un secteur «Sécurité du groupe». L'ancien chef de la cybersécurité, Marcus Griesser a été nommé à sa tête. Selon leurs propres indications, les CFF investissent chaque année plusieurs dizaines de millions dans ce domaine.
Traduit de l'allemand par Valentine Zenker
