Un enjeu majeur pour le transport public
Partout dans le monde, les cyberattaques sont en forte hausse et le secteur des transports est lui aussi concerné. En effet, avec la digitalisation, de nombreux équipements sont aujourd’hui dépendants des systèmes d’information : circulation automatique, signalisation, billettique, etc.
Prise de contrôle des systèmes, vol de données personnelles... les risques cyber peuvent avoir de lourdes conséquences pour les réseaux et les voyageurs. C’est pourquoi, nous mettons tout en œuvre pour protéger les systèmes d’information et sécuriser les données de nos réseaux de transport.
• IMPACT PHYSIQUE : Perte du contrôle d’un système ou d’un véhicule, totalement ou partiellement, entraînant un risque pour l'intégrité des personnes.
• DYSFONCTIONNEMENTS OU PARALYSIES : Système de billetterie bloqué, actifs endommagés, matériel roulant à l'arrêt, propagation de fausses informations.
• PERTES FINANCIÈRES : Demande de rançon, détournement des flux financiers, perte de revenus, coûts de récupération et de restauration, amendes pour non-conformité.
• ATTEINTE À LA RÉPUTATION DE LA MARQUE : Perte de la confiance des voyageurs dans les transports publics, entraînant une baisse de la fréquentation.
• PERTE D'OPPORTUNITÉS : Fuite d'informations stratégiques, espionnage.
Cyberprotect : notre programme pour protéger les données et les systèmes
RATP Dev s’est engagé dans une démarche volontariste de sécurisation des données et des systèmes d’information via la mise en place d’un programme dédié, CyberProtect, conçu dans l’esprit des normes ISO 27001 et au NIST cybersecurity framework, les références en matière de cybersécurité.
Le programme CyberProtect intègre chaque niveau de la chaîne de valeur de sécurité : anticipation, protection, détection et résilience.
ANTICIPATION
Développer une compréhension organisationnelle pour identifier les cybermenaces et atténuer les risques associés.
- Mettre en place une gouvernance claire et une organisation efficace pour soutenir la cybersécurité.
- Veiller au strict respect des normes, des lois et des réglementations locales, nationales et internationales en matière de cybersécurité.
- Appliquer un plan de gestion des risques efficace et adopter un processus d'amélioration continue.
PROTECTION
Élaborer et mettre en œuvre des mesures de protection appropriées pour limiter ou contenir l'impact d'un événement potentiel de cybersécurité.
- Concevoir et mettre en œuvre la sécurité pour l'ensemble du cycle de vie du système.
- Surveiller et adapter le niveau de sécurité tout au long de leur durée de vie.
- Mettre en œuvre une protection logique et physique pour garantir la sécurité complète de nos systèmes.
- Utiliser les services de renseignements sur les menaces de cybersécurité pour collecter et organiser les informations relatives aux cybermenaces.
DETECTION
Développer et mettre en œuvre des actions appropriées pour identifier l'occurrence d'un événement de cybersécurité.
- Développer une culture et des compétences en matière de cybersécurité au sein de l'organisation : des personnes formées et sensibilisées constituent une première ligne de défense très efficace dans l'ensemble du système de détection.
- Gérer les risques qui pourraient être introduits par des tiers dans la chaîne d'approvisionnement de RATP Dev.
RESILIENCE
Contenir l'impact d'un éventuel incident de cybersécurité, maintenir des plans de résilience et restaurer les services altérés en raison d'un incident.
- Élaborer et mettre en œuvre une gestion efficace des incidents et des crises.
- Concevoir un processus de gestion de la continuité d’activité pour minimiser l'impact des incidents et garantir un niveau acceptable de récupération des informations perdues.
- Préparer un plan de récupération après sinistre au cas où une crise majeure se produirait.
x4
augmentation du nombre de cyberattaques en un an en France (2021)
90%
des entreprises touchées par une cyberattaque en 2019
3e
secteur le plus ciblé par les cyberattaques en 2019
Focus sur quelques actions issues du programme CyberProtect
CAMPAGNES DE SENSIBILISATION AU PHISHING
Depuis 2020, RATP Dev a mené plusieurs campagnes de sensibilisation au phishing. Avec un outil dédié, nos équipes cybersécurité peuvent envoyer un faux e-mail malveillant et surveiller la réaction des collaborateurs visés (cliquer sur un lien suspect, saisir des informations sur un site Internet suspect...).
La dernière campagne a ciblé environ 2 500 collaborateurs de différentes filiales en France, au Royaume-Uni et en Italie : 86% ont réussi le test.
SÉCURISATION D'UNE APPLICATION MOBILE DÉVELOPPÉE EN INTERNE
RATP Dev a développé une application pour les voyageurs, WIP (Walk in Peace), afin de promouvoir la solidarité et la sécurité dans les transports publics. Pour sécuriser l'application, RATP Dev a mené deux phases de tests de cybersécurité :
- La première phase a été menée sur la plateforme Rapid7 ;
- La seconde phase a été menée sur Pradeo et Yeswehack (test Bug Bounty, ou prime aux bogues).
Les vulnérabilités détectées par les tests ont ensuite été corrigées avant la sortie de l'application.