L’Agence nationale de la sécurité des systèmes d’information (ANSSI) vient de publier, via son Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, le CERT-FR, un panorama de la menace informatique qui pèse sur les transports urbains. Ce rapport recense 123 événements de cybersécurité traitée entre 2020 et 2024, dont plusieurs ont directement concerné des opérateurs de transport, tous modes confondus. En effet, face à l’interconnexion grandissante des dispositifs techniques et à la sophistication des infrastructures numériques, toute vulnérabilité d’origine matérielle, logicielle ou organisationnelle, est susceptible d’affecter la continuité du service et la sécurité des voyageurs.
Des vulnérabilités propres aux systèmes de transport
La complexité des architectures déployées, combinée à la diversité des équipements connectés tels que les interfaces mobiles, les valideurs et les capteurs exposent les réseaux à une multiplicité de point d’entrée. Les services d’information voyageurs et les plateformes de paiement figurent parmi les cibles prioritaires. Outre l’aspect technique, le facteur humain demeure un maillon décisif puisque les agents d’exploitation, sous-traitants et prestataires sont tous concernés par les enjeux de cybersécurité et leurs pratiques influencent directement l’intégrité des systèmes.
Plusieurs incidents tels que des opérations d’hameçonnage, des tentatives d’intrusion ou encore la compromission de comptes illustrent la réalité et la diversité des menaces auxquelles sont confrontés les systèmes de transport urbain.
Un socle de recommandations pour la prévention des risques
Face à ces risques, l’ANSSI propose un ensemble de mesures mobilisables par l’ensemble des acteurs du secteur, qu’il s’agisse des autorités organisatrices de la mobilité ou des opérateurs de transport. Parmi les actions identifiées :
- la formation régulière des agents et la diffusion de référentiels de bonnes pratiques ;
- la cartographie des systèmes d’information afin de détecter les zones de vulnérabilité ;
- la formation régulière des agents et la diffusion de référentiels de bonnes pratiques ;
- la réalisation d’audit de sécurité pour ajuster les dispositifs existants ;
- l’encadrement contractuel des prestataires avec des clauses de sécurité explicites ;
- la segmentation des réseaux pour éviter la propagation d’une attaque.
Vers une culture partagée
Par leur rôle structurant dans la continuité du service public et la cohésion des territoires, les réseaux de transport partagent plusieurs caractéristiques avec les opérateurs d’importance vitale (OIV). Si les autorités organisatrices de la mobilité ne relèvent pas toutes formellement de ce statut, les exigences croissantes en matière de sécurité des systèmes d’information tendent à rapprocher leurs pratiques de celles imposées aux OIV, au regard des enjeux que ces réseaux représentent pour le fonctionnement quotidien des collectivités.
La mise en commun des retours d’expérience, l’appropriation collective des recommandations de l’ANSSI, ainsi que le développement d’outils adaptés à la diversité des réseaux constituent des éléments pour renforcer la cybersécurité dans les transports urbains. Ce volet devient ainsi une composante à part entière dans la gestion des mobilités, à intégrer aussi bien dans la gouvernance locale que dans la contractualisation des services.
