Exigences en matière de cybersécurité pour les opérateurs et les autorités dans les appels d'offres relatifs aux transports publics
La Cybersécurité est rapidement devenue un élément indispensable pour le Transport en Commun d’aujourd’hui
À mesure que notre secteur des transports publics se développe et adapte ses services pour répondre aux attentes en constante évolution de ses usagers, il s’expose chaque jour au risque d’attaques de Cybersécurité.
Les attaques de cybersécurité peuvent perturber le fonctionnement du Transport en Commun (TC) : mise hors service des systèmes d’information en temps réel destinés aux voyageurs, piratage de sites web et accès non autorisé aux logiciels internes.
Même si ce type d’attaques ne représente pas une menace immédiate pour les passagers ou les employés, elles peuvent entraîner d’importants retards dans les transports, des pannes du réseau et une perte inévitable de confiance de la part des passagers.
Malheureusement, il suffit de se connecter à un réseau Wi-Fi public pour que vos données personnelles soient volées.
Ainsi, même si l’accès gratuit à Internet peut constituer un atout considérable pour les voyageurs, les Opérateurs et les autorités doivent veiller à la sécurité de leurs réseaux face aux pirates informatiques.
La protection des données n’est pas seulement une attente des passagers, mais aussi une obligation légale qui incombe au responsable du traitement.
En vertu du règlement général sur la protection des données (RGPD) de l’Union européenne, toute violation de la confidentialité des données constitue une infraction passible d’amendes pouvant atteindre 2 à 4 % du chiffre d’affaires.
Les exploitants des transports publics et les autorités s’emploient donc activement à mettre en place toute une série de mesures visant à prévenir ces risques.
Vous trouverez ci-dessous les principales menaces en matière de Cybersécurité identifiées par l’ENISA, l’Agence de l’UE pour la Cybersécurité, en 2022 :
Mais de nombreux opérateurs et autorités échouent dès le premier obstacle
Pour garantir la sécurité et le confort des voyageurs, la Cybersécurité constitue le fondement de l’infrastructure numérique du Transport en Commun (TC).
Pourtant, lorsqu’il s’agit d’intégrer la Cybersécurité, de nombreux opérateurs et autorités échouent dès la première étape : l’intégration des exigences dans leur processus d’appel d’offres.
Au lieu d’intégrer les procédures de sécurité nécessaires dès le début d’un projet d’extension de ligne de métro ou d’un déploiement de nouveaux services partagés à la demande, les opérateurs et les autorités formulent souvent des demandes trop vagues pour permettre la mise en place de solutions sécurisées répondant à leurs besoins.
Ils peuvent alors revoir leurs exigences après avoir été confrontés à certaines menaces, ce qui entraîne des coûts supplémentaires et des retards dans le projet.
Du décalage à la réalisation des objectifs en matière de Cybersécurité
Nous savons bien que l’intégration des exigences opérationnelles en matière de Cybersécurité est plus facile à dire qu’à faire, d’autant plus que peu d’opérateurs et d’autorités disposent en interne des spécialistes capables d’accompagner le processus d’appel d’offres.
De plus, les acheteurs ne fournissent pas de lignes directrices susceptibles de les aider à gérer facilement ce processus interfonctionnel, ce qui se traduit le plus souvent par un décalage entre les attentes des opérateurs ou des autorités et les services proposés par le fournisseur.
Conscient de l’écart considérable qui existe entre les mesures à prendre lors des appels d’offres et les ressources disponibles pour garantir une protection adéquate en matière de cybersécurité, le Comité de la cybersécurité (Cybersecurity Committee) de l’UITP a élaboré un rapport détaillé intitulé « Lignes directrices pratiques sur les exigences en matière de cybersécurité : « Conditions requises pour les appels d’offres ».
Des membres clés de l’UITP, spécialisés dans la Cybersécurité, ont élaboré ces lignes directrices à l’intention des Opérateurs et des autorités. Elles comprennent un ensemble complet d’outils et de bonnes pratiques pouvant être intégrés dans leurs procédures de passation de marchés afin de garantir la réalisation des objectifs en matière de Cybersécurité.
Le rapport examine :
- Réglementations et cadres juridiques
- Processus de passation de marchés et cadres de spécifications
- Spécifications des systèmes de sécurité de l’information
- Spécifications techniques en matière de Cybersécurité
Par ailleurs, un guide de référence sur les marchés publics en matière de Cybersécurité, comprenant des références et des exemples.
Que l’on applique ce Standard à un réseau de métro ou à un système de bus à haut niveau de service, ces lignes directrices décrivent toutes les étapes à prendre en compte et présentent les technologies disponibles, ainsi que leurs avantages et leurs inconvénients.
Nous remercions les sponsors du rapport : AXIS Communications, Cylus, INIT et Waterfall Security Solutions !
Rejoignez-nous pour discuter de la Cybersécurité et de bien d’autres sujets à Jacksonville, en Floride
Le Forum UITP Amérique du Nord 2023 aura lieu dans quelques semaines seulement ! Organisé en collaboration avec la Jacksonville Transportation Authority, cet événement est à ne pas manquer.
La Cybersécurité est un thème central, au même titre que d’autres sujets tels que les innovations dans le domaine du Tramway, le développement des fonctions des gares et la décarbonation des transports publics.
Rencontrez et échangez avec des dirigeants du secteur des transports publics internationaux, des innovateurs et des experts chevronnés. De plus, l’entrée est gratuite pour les membres de l’UITP !