Arrêt des chemins de fer danois DSB (chaîne d'approvisionnement Supeo)

Le 5 novembre 2022, tous les trains exploités par DSB (Danske Statsbaner), le plus grand opérateur ferroviaire du Danemark, se sont immobilisés pendant plusieurs heures. La cause n'était pas une attaque contre DSB elle-même, mais contre Supeo, un sous-traitant danois dont le logiciel est indispensable aux conducteurs de train pour obtenir des informations opérationnelles en temps réel — un cas net de perturbation de la chaîne d'approvisionnement se répercutant sur le transport national.

Ce qui s'est passé

Supeo fournit des solutions de gestion des actifs aux entreprises ferroviaires, aux opérateurs d'infrastructures de transport et aux autorités de transport de passagers. Parmi ses services figure une application mobile que les conducteurs de train DSB utilisent pour accéder à des informations opérationnelles critiques — limites de vitesse, avis de travaux sur les voies et autres données pertinentes pour la sécurité.

Supeo a détecté que son environnement de test avait été compromis par des pirates criminels. Par précaution, l'entreprise a arrêté ses serveurs. Au moment où ces serveurs sont passés hors ligne, l'application des conducteurs a cessé de fonctionner. Sans accès aux données opérationnelles qu'ils sont tenus d'avoir, les conducteurs n'ont eu d'autre choix que d'arrêter leurs trains, et le réseau de DSB s'est figé dans tout le pays pendant plusieurs heures.

Le chef de la sécurité de DSB, Carsten Dam Sønderbo-Jacobsen, a déclaré : « Nous avons été contactés par notre sous-traitant qui nous a indiqué que son environnement de test avait été compromis par des pirates criminels. » Il a souligné que l'attaque n'avait pas ciblé directement DSB ni l'infrastructure ferroviaire, la qualifiant de criminalité économique — un langage largement interprété comme pointant vers un incident de rançongiciel chez Supeo.

Impact

• Tous les trains DSB à travers le Danemark ont été arrêtés pendant plusieurs heures, laissant des passagers bloqués et perturbant les services de banlieue et interurbains.
• La perturbation découlait entièrement d'un arrêt préventif par un tiers, et non d'une compromission des propres systèmes de DSB — une nuance importante dans l'analyse de l'incident.
• Le service a été progressivement rétabli le jour même, à mesure que Supeo et DSB ont mis en place des solutions de contournement et remis les systèmes en service en toute sécurité.

Pourquoi c'est important

L'arrêt de DSB est un exemple déterminant du risque lié aux tiers et à la chaîne d'approvisionnement dans les technologies opérationnelles. Aucun système de DSB n'a été compromis, et pourtant un incident de sécurité chez un seul fournisseur de logiciels — et la décision défensive de ce fournisseur de retirer ses serveurs — a suffi à paralyser le réseau ferroviaire voyageurs d'une nation. Cela a mis en évidence comment une application apparemment périphérique peut se trouver sur le chemin critique de l'exploitation sûre des trains, et pourquoi les opérateurs de transport doivent cartographier leurs dépendances vis-à-vis des fournisseurs, exiger résilience et solutions de repli hors ligne, et anticiper une panne de fournisseur comme un risque opérationnel de premier ordre plutôt qu'une réflexion informatique secondaire.