Cybersécurité dans les transports publics : 3 dimensions pour une véritable résilience
Publié le 16 mai 2025
- Conduite du changement
- Cybersécurité
- Expérience client
- Transport, voyage et logistique
A retenir
- La gestion des risques est essentielle et doit être systématique
Les entreprises de transport public doivent traiter les cyber-risques comme des risques opérationnels. Des analyses claires, une hiérarchisation et un contrôle continu sont nécessaires. Les dispositions légales telles que NIS-2 constituent un cadre important.
- La technologie seule ne suffit pas, il faut des structures organisationnelles adéquates
Les solutions de sécurité ne sont efficaces que si des processus d’urgence, des responsabilités claires et des mécanismes d’escalade sont mis en place. C’est justement en cas d’urgence que l’on voit si les organisations sont préparées.
- Le comportement humain est un facteur critique
Plus de 80 % des attaques réussies exploitent les faiblesses humaines. Il est donc essentiel d’établir une culture de la sécurité : avec des formations, une culture ouverte de l’erreur et des cadres sensibilisés.
Les transports publics sont interconnectés, numériques et mobiles, c’est précisément ce qui les rend vulnérables. Qu’il s’agisse de bus, de trains ou de centres de contrôle des opérations, plus les processus sont automatisés et les systèmes interconnectés, plus la surface d’attaque pour les cybercriminels est grande. Attaques de ransomware, vagues de DDOS, chaînes d’approvisionnement compromises ou attaques ciblées sur des infrastructures critiques, la menace est réelle et ne cesse de croître.
Les attaques ne sont pas seulement plus nombreuses, elles deviennent plus intelligentes. Si nous n’investissons pas aujourd’hui, nous le paierons demain. Dans le pire des cas, cela pourrait mener à la faillite de l’entreprise.
La gestion des risques, une obligation et non une option
De nombreuses entreprises s’appuient encore sur des mécanismes de protection obsolètes ou pensent à tort qu’« elles ne sont pas des cibles ». Mais cette approche n’est plus viable. Une cybersécurité moderne commence par une analyse claire des risques : quels systèmes méritent une protection renforcée ? Quelles sont les voies d’entrée, techniques et humaines ? Et comment détecter les incidents avant qu’ils ne prennent de l’ampleur ?
Ce qui est nécessaire, c’est une gestion proactive des risques, intégrant les cybermenaces au même titre que les risques opérationnels traditionnels, et ce, avec une priorisation claire, des plans d’action structurés et un suivi régulier.
Nous constatons régulièrement qu’un manque de préparation peut coûter très cher. Les exigences légales telles que NIS-2 ou son équivalent suisse ne sont pas une fin en soi, elles constituent la base nécessaire pour une gestion des risques professionnelle.
La technologie ne suffit pas, l’organisation est essentielle
Bien sûr, les technologies jouent un rôle central : réseaux segmentés, architectures zero-trust, chiffrement de bout en bout, API sécurisées ou solutions de surveillance. Mais, sans structures organisationnelles claires, même les meilleurs outils perdent leur efficacité.
Ce qui compte, ce sont les processus réglementés en cas d’urgence, allant de la détection des incidents à la communication avec les autorités et les partenaires. Cela inclut :
- Des procédures d’urgence
- Des plans d’escalade 24h/24 et 7j/7
- Des responsabilités clairement définies
- Des scénarios de test réguliers
Les petites et moyennes entreprises de transport bénéficient particulièrement de solutions standard évolutives et de partenaires expérimentés.
La technologie est importante, mais elle ne fonctionne que si l’organisation fonctionne également. Si vous ne savez pas qui décide de quoi en cas d’urgence, vous avez déjà perdu.
Privilégier la sensibilisation au pare-feu
La technique protège mais ce sont belle et bien les personnes décident. Le comportement humain joue un rôle déterminant dans plus de 80 % des attaques réussies. La négligence, le manque de sensibilisation ou de formation ouvrent des portes d’entrée dangereuses.
- La cybersécurité doit donc devenir une composante de la culture d’entreprise. Cela signifie :
- Former régulièrement et mener des campagnes de sensibilisation
- Promouvoir une culture de l’erreur : mieux vaut signaler que dissimuler
- Établir des « champions de la sécurité » dans les équipes
- Sensibiliser les dirigeants
La sécurité doit faire partie du quotidien et pas seulement du département informatique. S’il y a un manque de sensibilisation au sein de l’organisation, toute stratégie restera un tigre de papier.
La résilience repose sur trois dimensions essentielles
La cybersécurité dans les transports publics nécessite bien plus que de la technologie. Une véritable résilience ne peut être atteinte que lorsque la technologie, l’organisation et la culture travaillent ensemble. Les entreprises, quelle que soit leur taille, doivent mettre en place des structures dès aujourd’hui, comprendre les risques et embarquer leurs collaborateurs. L’exemple du Product Security Office de SITA, qui établit de nouvelles normes de cybersécurité dans l’aviation, montre comment cela fonctionne dans d’autres domaines du secteur des transports.
La prochaine attaque est inévitable, la seule question est : serez-vous prêts ? Nous vous aidons à vous protéger au mieux contre les attaques potentielles ! Contactez nos experts pour en savoir plus !
