DES FAILLES DANS LE SYSTÈME
Le problème est que la plupart des systèmes de transport public ne sont pas à la hauteur. L’informatique et les réseaux de communication modernes ont été greffés sur des infrastructures vétustes, laissant ainsi de nombreuses failles dans le système. Il est envisageable, par exemple, qu’un individu malveillant prenne le contrôle des panneaux d’affichage électroniques pour diffuser des informations trompeuses. Ce fut le cas en mai 2017, lorsque les écrans d’information de l’Union Station de Washington ont été piratés pour diffuser une vidéo pornographique pendant les heures de pointe. Bien que déplorable, ce piratage n’est rien comparé aux perturbations qui pourraient être provoquées par la diffusion de faux messages ou, pire, par la prise de contrôle à distance d’un tramway ou d’un train par des hackers.
Les villes et les opérateurs de transport doivent également faire face à la diversité croissante des attaques, parmi lesquelles les « ransomwares », qui, selon le rapport 2018 Data Breach de Verizon, ont augmenté de 50 % en 2017, toutes entreprises et secteurs confondus.
PRENDRE LE PROBLÈME À BRAS-LE-CORPS
De Dubaï à Barcelone, les opérateurs peinent encore à identifier les bonnes solutions. Dans un rapport de 2017, Cisco Systems, leader mondial de la technologie de serveurs, a constaté que les spécialistes de la sécurité travaillant dans le secteur des transports collectifs avaient conscience de la multiplication des menaces informatiques. Parmi leurs préoccupations figuraient les piratages furtifs et continus, connus sous le nom d’Advanced Persistent Threats (APT), et le recours aux objets connectés, qui peuvent être contrôlés via des applications malveillantes pour manipuler les opérateurs et les inciter à prendre des risques.
Les professionnels de la sécurité ont également fait état du manque de formation du personnel sur ces questions. Cette situation est préoccupante, car pour faire face à la recrudescence des menaces à la cybersécurité, les villes auront besoin de personnel expérimenté, de politiques et de procédures de sécurité efficaces pour anticiper et réagir.
Lindsey Mancini explique que les organisations doivent créer une véritable culture de la cybersécurité pour lutter contre la cybercriminalité. Chaque personne doit s’impliquer dans la protection du système et prendre conscience des risques de son rôle – du conseil d’administration aux équipes du terrain.
RENFORCER LES POLITIQUES DE SÉCURITÉS
À l’image de Singapour, de plus en plus de villes déploient des campagnes de sensibilisation internes et des programmes de formation dédiés aux transports collectifs. Nombreuses sont celles qui appliquent les bonnes pratiques, en conduisant des audits et en déployant des mesures de sécurité (numérique et physique) pour protéger leurs ressources. Toujours selon le rapport Cisco de 2017, les trois quarts des opérateurs interrogés ont déclaré avoir déployé des centres d’opérations de sécurité (COS), et 14 % ont pour projet d’en créer. Par ailleurs, près de 90 % des professionnels de la sécurité ont déclaré que leur structure fait partie d’un organisme de normalisation en matière de sécurité. Près de 80 % attestent, enfin, effectuer des simulations d’attaque au moins une fois par trimestre.
Si c’est un bon début, cela reste insuffisant. Le fait que les opérateurs travaillent main dans la main avec les Autorités Organisatrices de Transport, qui elles-mêmes louent souvent les infrastructures à des tiers, complique encore les choses. Vient ensuite la question des prestataires externes et autres sous-traitants. « Les opérateurs n’ont absolument aucun contrôle sur l’environnement informatique de leurs prestataires », souligne Lindsey Mancini. On pourrait aller plus loin, par exemple en travaillant plus étroitement avec les partenaires et les fournisseurs à la définition d’un cadre de sécurité commun – dans le domaine de la protection des données, par exemple – et en réalisant des audits réguliers des filiales, comme le fait Keolis (18 filiales ont été auditées ces trois dernières années ainsi que 130 de leurs sites internet).