L'Anssi piste les menaces sur les transports urbains

Après les télécoms ou la santé, l'agence nationale de la sécurité des systèmes d'information se penche cette fois-ci sur les transports urbains. Les entités du secteur "sont caractérisées par une forte criticité. Les attaques informatiques à leur encontre peuvent avoir des conséquences significatives et parfois de long terme affectant la continuité des services de transport, mais également l’intégrité, la disponibilité et la confidentialité des données qu’ils hébergent", explique l'ANSSI qui a publié son rapport d'activité 2024 faisant état d'exercices de crise menés pour les derniers JO concernant notamment les transports en commun.

De janvier 2020 à décembre 2024, l’agence indique avoir traité 123 événements de sécurité informatique affectant des entités du secteur des transports urbains dont 32 incidents (actions malveillantes menées avec succès par un pirate dans un SI) et 91 signalements (comportements anormaux ou inattendus pouvant avoir un caractère malveillant ou ouvrir la voie à des usages néfastes à l’encontre d’un système d'information.) L'Anssi prend en considération dans son analyse deux modes principaux de transport urbain : terrestre (métros, tramways, réseau ferré, taxi et VTC...) et fluvial, opérés par différents types d'acteurs (autorités organisatrices de la mobilité, exploitants de réseaux de transports en commun, entreprises privées ou parapubliques de flottes de véhicules...

Un cocktail de menaces incluant rançongiciels, DDoS, vols de données et espionnage

Ce domaine d'activité "est marqué par l’utilisation importante de technologies informatiques et la numérisation croissante des services dans un souci d’augmentation de l’efficacité et d’amélioration de l’expérience client", peut-on lire dans le rapport. "Les réseaux informatiques des transports urbains, notamment guidés et ferroviaires, font s’interfacer des réseaux industriels utilisés pour gérer les opérations appelés OT (operational technology), et des réseaux de traitement de l’information appelés IT (information technology). Cette interconnexion, due à l’évolution des technologies, contribue à augmenter la surface d’attaque des réseaux industriels." En termes de sécurisation informatique, les acteurs de ce secteur doivent protéger et assurer le bon fonctionnement de nombreux services et réseaux, allant de la billettique, aux systèmes d'information voyageurs et protéger les réseaux informatiques des systèmes de transport de nombreuses menaces potentielles.

L'Anssi répartit en trois grandes catégories les finalités de ces menaces. La première est de type lucratif et inclut l'extorsion et les attaques par rançongiciel, contre des bases de données à des fins d'exploitation, d'exfiltration et de reventes, ou encore celles visant les usagers également à des fins d'extorsion. "Les capacités mises en œuvre pour conduire des attaques à finalité lucrative sont propres à l’écosystème cybercriminel. Le principal vecteur de compromission identifié est l’hameçonnage. Il n’en reste pas moins que l’exploitation de vulnérabilités sur des logiciels et équipements couramment utilisés, qui ne sont pas forcément spécifiques au secteur, demeure un vecteur courant de compromission", fait savoir l'agence. La deuxième catégorie de menace est de type déstabilisation avec des attaques à des fins de destruction contre des entités de transport urbain, revendiquées par des groupes hacktivistes et comprenant des DDoS, ou pour détourner des équipements de signalisation. Enfin, la dernière catégorie de menaces identifiée est l'espionnage. "Ces attaques sont conduites au moyen de mode opératoires des attaquants réputés liés à des États ou des entreprises privées. Elles peuvent viser différents objectifs : la préparation d’attaques ultérieures (potentiellement à des fins de sabotage), la collecte de renseignement d’intérêt industriel, ou encore l’espionnage d’individus", fait savoir l'Anssi.

26 recommandations émises

L'Anssi a émis dans son rapport 26 recommandations à suivre pour les entreprises du secteur réparties dans 9 catégories. A commencer par sensibiliser les collaborateurs aussi bien les utilisateurs (ne pas ouvrir les messages dont la provenance ou la forme est inconnue, vérifier l’authenticité d’un site web, télécharger des logiciels uniquement depuis le site de leur éditeur...) que les administrateurs qui doivent faire preuve d'une vigilance accrue car ils constituent des cibles privilégiées des attaquants. Concernant la gestion des risques, l'Anssi recommande de réaliser une cartographie de son SI et de son environnement, et de mener une analyse de risques qui doit être maintenue à jour régulièrement. La troisième catégorie de recommandations, acquisition, développement et maintenance, invite notamment les entreprises à inclure dans les contrats des clauses de traitement d'incidents et de traçabilité des composants pour "connaître les configurations déployées sur les systèmes industriels et embarqués afin de suivre les vulnérabilités et d’être capable de réinstaller les logiciels nécessaires aux opérations en cas d’incident entraînant la destruction des données et logiciels."

En matière d'architecture, l'agence recommande de mettre en oeuvre une passerelle d'interconnexion à Internet, cloisonner et filtrer les différents SI et sous-systèmes de SI de manière logique, protéger les données par un mécanisme cryptographique à l'état de l'art, et mettre en oeuvre de l'anti-DDoS. "L'entité ne devrait pas exposer de services ou faire transiter des données sur Internet dont l’indisponibilité pourrait affecter le bon fonctionnement de ses infrastructures assurant le transport des voyageurs", prévient l'agence. Limiter la dépendance aux technologies de géolocalisation et de navigation par satellite, dépendantes à des attaques par brouillage, est également mentionnée. Outre la sécurisation des accès physiques et des systèmes exposés au public, le rapport fait état de 4 recommandations en matière de gestion des identités et des accès (enregistrement des variations des noms de domaines enregistrés, identification unique des utilisateurs sur des périmètres bureautiques, mise en place d'une politique de mots de passe robuste et d'une authentification forte pour les comptes sensibles et les accès distants.) Enfin une attention particulière devra également être faite sur la gestion des vulnérabilités (durcissement de la configuration des équipements, maintenir à jour le SI), la journalisation et la détection des alertes de sécurité, et la résilience du système (mode dégradé, PCA/PRA, politique de sauvegarde régulière comprenant une effectuée hors ligne, et plan de réponse aux cyberattaques.)