La transformation numérique comporte son lot de cybermenaces, et le transport est en première ligne. En 2016, le logiciel de racket WannaCry s’est attaqué au métro léger de San Francisco. En 2017, Deutsche Bahn, Renault, Transdev n’ont pas été épargnés. La même année, NotPetya sévissait dans le fret et la logistique (Maersk), l’aérien (Airbus, British Airways) et à la SNCF qui a réussi à contenir le virus. La RATP reste très discrète, Eurotunnel aussi. Comment les entreprises se protègent contre le risque cybernétique ? Si la discrétion est de mise, certains acteurs du secteur ont accepté de nous répondre.

La mobilité vit sa révolution numérique, les systèmes sont de plus en plus connectés, les opérateurs testent l’autonomie des véhicules en grandeur nature, et l’exposition des transports aux cybermenaces grandit en conséquence. Au dernier forum de la cybersécurité, fin janvier à Lille, Guillaume Poupard, le patron de l’Agence nationale de la sécurité des systèmes d’information (Anssi), mettait en garde contre deux menaces galopantes : le vol de données et le sabotage. Le gendarme français de la cybersécurité placé sous l’autorité de Matignon, aurait détecté « des attaques d’acteurs étatiques [Russie, Ukraine, Chine, Corée du Nord sont dans le viseur de l’Anssi, NDLR], privés ou terroristes, qui ne cherchent pas encore à détruire mais à s’installer pour étudier les systèmes informatiques dans trois secteurs clés de notre économie : l’énergie, les télécoms et les transports ». Docteur en cryptologie et diplômé en psychologie(1) Guillaume Poupard met aujourd’hui en oeuvre la directive européenne sur la sécurité des réseaux et des systèmes d’information (NIS) qui contraint les opérateurs à durcir leur sécurité informatique. Toutefois, le niveau de sécurité de chacun d’eux n’est pas communiqué. « Les moyens consacrés à la cybersécurité, sur lesquels il n’est pas possible de communiquer, sont en constante augmentation, corrélés à la menace globale », se contente d’indiquer la RATP. Des menaces pèseraient sur les systèmes physiques, le cloud, les mobiles et l’Internet des objets. Cyberapocalyptique, Guillaume Poupard prédit même un « Pearl Harbour numérique » aux graves conséquences pour les opérateurs de services essentiels (OSE) et ceux d’importance vitale (OIV). Essentiels au fonctionnement de l’économie et de la société, voire à la survie de la nation.

Fantasme hollywoodien

Leur identité est confidentielle, mais c’est un secret de Polichinelle : les 122 OSE identifiés par l’agence de cyberdéfense, et les 240 OIV inscrits dans la loi de programmation militaire (tant publics que privés), les grands acteurs des transports comme Air France, la SNCF ou la RATP en font partie, de même qu’Airbus, Alstom, ADP ou encore Eurotunnel. Alors, tous aux abris, le risque d’attaque à la diligence est de retour ? Pour Philippe Cotelle, gestionnaire des risques d’Airbus Defense & Space et président de la commission cyber de l’Amrae, association des risk managers des grandes entreprises françaises, la prise de contrôle du train, de l’avion ou du camion autonomes est un « fantasme hollywoodien ». « Ces scénarios catastrophe sont adressés en priorité, et la robustesse est la condition de mise en service des systèmes de transport », dit-il. « La sûreté de fonctionnement protège par nature les fonctions critiques du système contre des pannes et des altérations non intentionnelles d’information. Elle repose sur des mécanismes de surveillance qui détectent ces pannes : si le système reçoit des informations altérées, il ne les exécute pas, mais réagit en se repliant en état sûr, par exemple en déclenchant le freinage d’urgence d’un train », reprend Benoît Bruyère, responsable Cybersécurité des activités transports terrestres chez Thales. Les mécanismes qui vérifient l’intégrité des données peuvent contribuer, mais ne sont pas suffisants pour protéger contre des attaques intentionnelles élaborées. Un train ou un tramway s’arrêtera si les données ne sont pas intègres.