Contexte
Un opérateur de transport urbain exploite une ligne de métro automatique reposant sur des systèmes industriels critiques et fortement interconnectés. Une contamination cyber affecte l’environnement opérationnel, avec un risque direct sur la continuité de service. L’intervention doit se faire en situation dégradée, sans arrêt prolongé de l’exploitation, dans un contexte de forte pression opérationnelle et institutionnelle.
Difficultés
- Impossibilité de déployer un EDR classique
Les systèmes OT embarqués, certifiés et contraints par des exigences de disponibilité et de sûreté, ne permettaient pas l’installation d’EDR standards. Toute modification logicielle risquait d’impacter le fonctionnement temps réel et la sécurité des voyageurs.
- Méthodologies de décontamination IT inapplicables
Les approches classiques de décontamination, telles que la reconstruction complète ou les scans agressifs, étaient incompatibles avec l’architecture industrielle et les contraintes d’exploitation continue. Une approche spécifique, progressive et strictement maîtrisée était nécessaire.