Publié le 5 juin 2025

Savoir utiliser à bon escient les solutions infonuagiques

Les entreprises ferroviaires stockent de plus en plus leurs données et applications numériques sur des serveurs externes. Ce que l’on appelle le cloud computing comporte certains risques. L’Office fédéral des transports (OFT) a formulé des exigences afin de sensibiliser le secteur à une utilisation judicieuse du cloud computing. Dans le cadre de son activité de surveillance, l’OFT contrôlera le respect des règles.

Le quai 3 de la gare d’Aarau, désert. De nombreuses lignes de contact.

Avec l’avancée de la numérisation, le cloud computing s’établit également dans les chemins de fer. Les données et les applications sont de moins en moins conservées et exploitées en interne, mais stockées chez des prestataires de services externes. Cela peut concerner les données et les instruments numériques dans le domaine des installations de sécurité, des systèmes de contrôle ferroviaire, de la maintenance etc. ainsi que les données et les applications de l’alimentation en courant de traction.

Assurer le contrôle

Le cloud computing présente certes de nombreux avantages pour les entreprises, mais il ne faut pas sous-estimer les risques de perte de contrôle, avec les conséquences qu’ils impliquent pour la sécurité de l’exploitation ferroviaire. Actuellement, les prescriptions de la Confédération ne réglementent pas explicitement l’utilisation du cloud computing : elles ne formulent que des exigences générales auxquelles les diverses applications doivent répondre.

C’est pourquoi l’OFT a concrétisé ces prescriptions officielles générales en formulant des exigences détaillées dans une lettre adressée aux entreprises ferroviaires.

L’OFT intensifie le contrôle

Le point le plus important de cette concrétisation est la gestion d’une défaillance du système : le cloud computing ne peut être utilisé dans une application ferroviaire qu’après analyse du risque de « défaillance de l’infonuage avec des incidences sur l’exploitation ou la sécurité ». Les entreprises doivent indiquer les éventuelles mesures de compensation. Enfin, il faut décider si le risque peut être accepté.

Les entreprises doivent consigner par écrit leurs réflexions et leurs étapes décisionnelles concernant ces exigences, puis présenter les documents correspondants à l’OFT sur demande. À l’avenir, l’OFT vérifiera la mise en œuvre des exigences dans le cadre de ses activités de surveillance, tant au niveau de la procédure (approbation des plans et homologations de série) que dans le cadre de ses activités de contrôle (audits et contrôles d’exploitation).