Transports et NIS2 : un secteur hautement critique face à l'intensification des cybermenaces
Le secteur des transports figure en Annexe I de la directive NIS2, ce qui le classe parmi les infrastructures hautement critiques de l'Union européenne. Couvrant l'aérien, le ferroviaire, le fluvial et maritime ainsi que le routier, ce périmètre étendu englobe des milliers d'entités françaises : compagnies aériennes et exploitants aéroportuaires, opérateurs ferroviaires, ports maritimes et armateurs, sociétés autoroutières, transporteurs routiers de marchandises et de voyageurs. La directive NIS2 marque une rupture d'échelle : de quelques centaines d'entités régulées sous NIS1, la France passe à 10 000 à 15 000 organisations concernées, dont une part substantielle opère dans les transports.
La digitalisation accélérée du secteur — billettique connectée, contrôle aérien automatisé, signalisation ferroviaire numérique, gestion portuaire IIoT — élargit dangereusement la surface d'attaque. Les rapports 2024-2025 confirment une tendance alarmante : le secteur des transports devient la cible principale des cyberattaques en France, dépassant l'industrie manufacturière. Les conséquences d'une compromission dépassent ici la dimension économique : elles mettent directement en jeu la sécurité des personnes et la continuité des services critiques.
Périmètre NIS2 : quelles entités du secteur transports sont régulées
La directive NIS2 s'applique aux entités des transports selon deux critères cumulatifs : le secteur d'activité et la taille de l'organisation. Le secteur transports recouvre quatre sous-domaines : aérien (compagnies aériennes, exploitants d'aéroports, prestataires de services de navigation aérienne), ferroviaire (gestionnaires d'infrastructures, entreprises ferroviaires de transport de voyageurs et de marchandises, dont SNCF, RATP et opérateurs privés), maritime et fluvial (ports, armateurs, opérateurs de transport de passagers ou de marchandises) et routier (autorités chargées de la gestion du trafic, transporteurs routiers au-dessus des seuils).
Les seuils de qualification sont fixés à l'échelle européenne et repris dans le projet de loi Résilience français. Les entités essentielles (Annexe I) sont les organisations comptant 250 employés ou plus, ou réalisant un chiffre d'affaires annuel d'au moins 50 millions d'euros, ou affichant un bilan annuel d'au moins 43 millions d'euros. Les entités importantes (Annexe II) se situent entre 50 et 249 employés, ou entre 10 et 50 millions d'euros de chiffre d'affaires, ou entre 10 et 43 millions d'euros de bilan. En France, environ 15 000 entités seront concernées par NIS2 toutes annexes confondues, contre 500 sous NIS1, et les transports représentent une part significative de cette croissance.
Certaines infrastructures spécifiques sont automatiquement concernées indépendamment de leur taille, notamment les gestionnaires de ports maritimes et fluviaux d'importance, les aéroports de catégorie spécifique selon la classification européenne, et les gestionnaires d'infrastructures ferroviaires principales. Les sous-traitants et fournisseurs de services numériques critiques pour ces entités essentielles peuvent également tomber dans le périmètre, selon le principe de maîtrise de l'écosystème prévu par l'article 21 de la directive.
Cadre réglementaire : articulation de NIS2 avec les normes sectorielles transports
Le secteur des transports est soumis à un empilement réglementaire dense, et NIS2 s'ajoute aux obligations existantes sans s'y substituer. En aviation civile, le règlement européen Part-IS (règlement sur la sécurité de l'information), adopté en 2023 et applicable progressivement à partir de 2025, impose déjà un Système de Management de la Sécurité de l'Information (SMSI) à l'ensemble de la chaîne aéronautique — constructeurs, équipementiers, opérateurs. Le ferroviaire est régi par les directives de sécurité ferroviaire et par les normes ERTMS (European Rail Traffic Management System) pour la signalisation ; l'Établissement public de sécurité ferroviaire (EPSF) a signé une lettre d'intention avec l'ANSSI dès 2018 pour renforcer la prise en compte de la cybersécurité dans la sécurité ferroviaire.
Dans le maritime, l'Organisation Maritime Internationale (OMI) a publié en 2017 des résolutions intégrant la cybersécurité dans les codes ISM (International Safety Management) et ISPS (International Ship and Port Facility Security). L'ANSSI a également publié un guide bilingue dédié aux bonnes pratiques de sécurité informatique à bord des navires. Le routier est moins régulé au niveau cyber, mais les systèmes de transport routiers automatisés (STRA) font l'objet de guides spécifiques de l'ANSSI publiés en novembre 2024.
NIS2 vient donc consolider, harmoniser et élargir ces dispositifs sectoriels en imposant un socle commun de mesures techniques et organisationnelles (article 21), des obligations de notification d'incidents sous 24 heures (alerte préliminaire) puis 72 heures (rapport intermédiaire) et un mois (rapport final), et en engageant la responsabilité personnelle des dirigeants en cas de manquement grave. L'ANSSI, autorité nationale en charge de la supervision NIS2, coordonne son action avec les régulateurs sectoriels (DGAC, EPSF, directions maritimes) pour éviter les redondances et garantir la cohérence du dispositif.
Spécificités cybersécurité du secteur transports : risques, vecteurs et surface d'attaque
Les systèmes d'information du secteur transports présentent une hybridation forte entre environnements IT classiques (gestion billettique, planification, ressources humaines) et environnements OT/IIoT (systèmes de contrôle industriels embarqués, signalisation, automatisation des équipements). La complexité technique et la multiplicité des composants interconnectés créent des vecteurs d'attaques protéiformes tant la surface d'exposition aux cyberattaques est diverse et en constante augmentation. La numérisation rapide (capteurs IoT pour la maintenance prédictive, communication train-sol, vidéosurveillance portuaire connectée) élargit cette surface sans que la maturité cyber suive toujours au même rythme.
Les vecteurs d'attaque les plus documentés dans le secteur incluent les attaques par déni de service distribué (DDoS), qui visent à saturer les serveurs des sites aéroportuaires, ferroviaires ou de compagnies pour provoquer des perturbations médiatiques ou symboliques ; les ransomwares, qui chiffrent les systèmes critiques (billettique, gestion des horaires, communication interne) et exigent une rançon pour restituer l'accès ; les attaques de type adversary-in-the-middle (AiTM), qui interceptent et manipulent les échanges de données entre entités ; et les campagnes d'hameçonnage, qui exploitent la faille humaine pour compromettre les accès à des systèmes sensibles.
La chaîne d'approvisionnement logicielle constitue un point de vigilance particulier : les calculateurs embarqués dans les trains, les systèmes avioniques, les logiciels de gestion portuaire sont souvent fournis par des tiers, parfois localisés hors UE, et peuvent contenir des vulnérabilités exploitables. L'obsolescence des équipements industriels est également un enjeu majeur : les équipements industriels du secteur des transports urbains ont une grande durée de vie, pouvant atteindre plusieurs dizaines d'années, ce qui entraîne des problématiques associées à l'obsolescence de la sécurisation des serveurs et postes de travail qui leur sont associés.
Incidents cyber marquants dans les transports (2023-2026)
Le secteur a connu une série d'incidents documentés au cours des dernières années qui illustrent la diversité et la gravité des menaces. En mars 2023, un groupe cybercriminel appelé Anonymous Sudan a lancé des cyberattaques contre Aéroports de Paris ainsi que les aéroports de Paris-Vatry, de Marseille, de Lyon et de Bordeaux. Ces attaques par déni de service ont provoqué des pannes et ralentissements, rappelant la vulnérabilité des infrastructures aéroportuaires françaises.
En juillet 2023, l'aéroport de Montpellier a subi une attaque qualifiée de « très violente » par sa direction, avec plusieurs heures de systèmes hors service. L'incident a rappelé combien les aéroports de taille intermédiaire peuvent être exposés sans disposer des ressources de sécurité des grandes plateformes. En août 2024, l'autorité portuaire de l'aéroport Seattle-Tacoma a dû isoler ses systèmes d'information suite à une cyberattaque attribuée au groupe Rhysida, ralentissant les activités de la plateforme et déclenchant une rançon de 10 millions de dollars.
Le 19 juillet 2024, une panne informatique majeure a frappé des milliers d'entités à travers le monde, dont plusieurs acteurs du secteur aérien, affectant des compagnies comme Delta Air Lines, Turkish Airlines, et l'aéroport de Delhi, causée par une défaillance dans un logiciel de sécurité fourni par CrowdStrike, avec des milliers de vols annulés ou retardés à l'échelle mondiale. Delta Air Lines a estimé le coût de cet incident à 500 millions de dollars.
Selon les données de terrain, 764 cyberattaques ont été recensées sur le secteur aérien en 2023, dont la majorité étaient des attaques par DDoS (679) puis par ransomware (52), et les principales cibles étaient les aéroports (486 sur 764, soit 64 %). En 2024, 604 cyber-incidents ont été enregistrés dans le secteur aérien, avec une prédominance maintenue des attaques DDoS et une hausse des incidents de vol de données personnelles chez les compagnies. L'analyse sectorielle révèle également que les infrastructures ferroviaires ont subi une augmentation de 220 % des cyberattaques sur les cinq dernières années.
Mesures techniques prioritaires NIS2 pour le secteur transports
L'article 21 de la directive NIS2 impose dix catégories de mesures techniques et organisationnelles. Le Référentiel Cyber France (ReCyF), publié par l'ANSSI le 17 mars 2026, détaille 20 objectifs de sécurité opérationnels pour atteindre ces exigences. Pour les entités du secteur transports, plusieurs mesures sont particulièrement critiques.
L'analyse de risques et sécurité des systèmes d'information (/mesures/analyse-risques-securite-si) constitue le socle de toute démarche de conformité. Les opérateurs doivent cartographier l'ensemble de leurs systèmes — IT et OT — identifier les actifs critiques (systèmes de signalisation ferroviaire, contrôle aérien, billettique), évaluer les vulnérabilités et modéliser les scénarios de menace. L'ANSSI recommande dans son état de la menace sur les transports urbains de réaliser une cartographie globale des systèmes d'information afin d'identifier les risques affectant l'entité.
La gestion des incidents (/mesures/gestion-incidents) impose des processus formalisés de détection, d'alerte, de traitement et de notification. Les entités essentielles doivent notifier l'ANSSI dans les 24 heures suivant la détection d'un incident significatif, transmettre un rapport intermédiaire sous 72 heures et un rapport final sous un mois. La criticité des services transports, qui supportent mal les interruptions, renforce la pression sur les victimes : disposer d'un SOC (Security Operations Centre) capable de surveiller à la fois IT, OT et IoT devient indispensable.
La continuité d'activité et plans de reprise (/mesures/continuite-activite) sont vitaux dans un secteur où l'interruption de service peut avoir des conséquences immédiates sur la sécurité des personnes. Les entités doivent définir des modes de fonctionnement dégradé pour leurs systèmes critiques, préparer des plans de continuité (PCA) et de reprise (PRA), et les tester régulièrement. L'ANSSI insiste sur la nécessité de cloisonner et filtrer les différents systèmes d'information, de protéger les données par mécanisme cryptographique (/mesures/cryptographie-chiffrement), et de prévoir le fonctionnement en mode dégradé des systèmes d'information industriels.
La sécurité de la chaîne d'approvisionnement (/mesures/chaine-approvisionnement) est particulièrement sensible pour les transports : calculateurs train, avionique, logiciels embarqués sont souvent fournis par des tiers. Les entités doivent cartographier leur écosystème de fournisseurs, évaluer leur niveau de cybersécurité, imposer des clauses contractuelles de sécurité et surveiller les vulnérabilités dans les composants tiers. Le ReCyF (objectif 3) demande aux entités de mettre en place des processus visant à s'assurer par la voie contractuelle de la conformité des prestations informatiques dont elles bénéficient.
Enfin, l'hygiène cyber et formation (/mesures/cyber-hygiene-formation) constitue le premier rempart contre la menace cybercriminelle de masse. Mise à jour régulière des systèmes, cloisonnement réseau, gestion rigoureuse des comptes à privilèges, authentification multi-facteurs (/mesures/mfa-communications-securisees), sauvegardes hors ligne pour les données critiques et sensibilisation des collaborateurs sont autant de mesures simples mais efficaces pour réduire drastiquement le risque.
Prestataires qualifiés ANSSI à mobiliser pour les transports
La mise en conformité NIS2 dans le secteur transports nécessite de s'appuyer sur des prestataires qualifiés ANSSI, dont les prestations peuvent être opposées lors d'un contrôle pour démontrer l'atteinte des objectifs de sécurité. Le catalogue complet est accessible sur cyber.gouv.fr/produits-services-qualifies et via la plateforme /prestataires de l'annuaire nis2-pro.fr.
Les Prestataires d'Audit de la Sécurité des Systèmes d'Information (PASSI) réalisent des audits techniques (tests d'intrusion, revue de code, audit d'architecture) et organisationnels (revue de conformité, analyse de risques). Pour les Opérateurs d'Importance Vitale (OIV) du secteur transports, la qualification PASSI-LPM (Loi de Programmation Militaire) est requise pour les audits portant sur les Systèmes d'Information d'Importance Vitale (SIIV). Les audits PASSI permettent de vérifier la robustesse des systèmes critiques (signalisation, contrôle aérien, gestion portuaire) et d'identifier les vulnérabilités avant qu'elles ne soient exploitées.
Les Prestataires de Détection des Incidents de Sécurité (PDIS) et Prestataires de Réponse aux Incidents de Sécurité (PRIS) assurent la surveillance continue (SOC) et la réponse opérationnelle en cas de compromission. Compte tenu de la complexité des environnements transports (IT/OT hybrides, IoT embarqué), peu d'organisations disposent en interne des compétences pour couvrir l'ensemble du spectre. Externaliser la détection et la réponse auprès de PDIS/PRIS qualifiés est souvent la solution la plus réaliste pour les entités de taille intermédiaire.
Les Prestataires d'Accompagnement et de Conseil en Sécurité (PACS) interviennent pour structurer la gouvernance cyber, réaliser l'analyse de risques initiale, définir la Politique de Sécurité des Systèmes d'Information (PSSI), accompagner la mise en place des processus de gestion des incidents, et préparer les exercices de crise. Le ReCyF mentionne explicitement que les entités peuvent se prévaloir lors d'un contrôle du recours à une prestation PACS qualifiée pour la préparation du dispositif de gestion des crises et la réalisation d'exercices de crise d'origine cyber.
Pour les infrastructures cloud (billettique en SaaS, plateformes clients, applications métiers hébergées), les opérateurs du secteur transports peuvent s'appuyer sur des prestataires SecNumCloud, référentiel ANSSI d'exigences pour cloud de confiance, garantissant un niveau élevé de sécurité et de souveraineté des données.
Calendrier et prochaines étapes : Loi Résilience, MonEspaceNIS2, ReCyF
La transposition française de NIS2 s'effectue via le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dit « Loi Résilience », qui transpose conjointement NIS2, la directive REC (entités critiques) et le règlement DORA (résilience numérique du secteur financier). Ce texte a été adopté en première lecture au Sénat le 12 mars 2025, puis voté à l'unanimité en commission spéciale à l'Assemblée nationale le 10 septembre 2025. Le député Philippe Latombe a écrit au Premier ministre pour souligner l'urgence à l'inscrire à l'ordre du jour, la date évoquée pour le moment étant celle de juillet 2026. La promulgation est donc attendue au cours de l'été 2026, suivie de la publication des décrets d'application au second semestre 2026.
Depuis le 24 novembre 2025, l'ANSSI a ouvert le pré-enregistrement des entités concernées sur la plateforme MonEspaceNIS2. Ce guichet en ligne permet aux dirigeants d'entités potentiellement concernées de réaliser une auto-évaluation de leur éligibilité, de déclarer leur entité et de suivre l'évolution de leurs obligations. Le pré-enregistrement n'est pas obligatoire à ce stade, mais il est fortement encouragé pour anticiper et structurer la mise en conformité.
Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF) en version document de travail. Le ReCyF liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 et correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience ; ce référentiel, par défaut non-obligatoire, permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle de l'ANSSI. Le ReCyF structure 20 objectifs de sécurité : les objectifs 1 à 15 s'appliquent à toutes les entités (essentielles et importantes), les objectifs 16 à 20 ne concernent que les entités essentielles en application du principe de proportionnalité. L'ANSSI a également mis en ligne un outil de comparaison de référentiels permettant de mettre ReCyF en regard d'ISO 27001, ISO 27002, ou de référentiels sectoriels existants, facilitant l'appropriation pour les entités déjà engagées dans des démarches de certification.
Le calendrier prévisionnel pour les entités du secteur transports est donc le suivant : Q2-Q3 2026, promulgation de la Loi Résilience et publication des décrets techniques ; Q4 2026, entrée en vigueur progressive des obligations de déclaration et de mise en conformité ; 2027, début des contrôles ANSSI sur les entités essentielles ; 2027-2029, déploiement à grande échelle des mesures et montée en maturité de l'écosystème. Les sanctions prévues pour non-conformité atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % du chiffre d'affaires pour les entités importantes.
Les entités du secteur transports — compagnies aériennes, exploitants aéroportuaires, opérateurs ferroviaires, ports, armateurs, transporteurs routiers — doivent dès à présent engager leur démarche : auto-évaluation de leur périmètre via MonEspaceNIS2, diagnostic de maturité cyber en s'appuyant sur le ReCyF, identification des écarts par rapport aux 20 objectifs de sécurité, définition d'une feuille de route priorisée, mobilisation de prestataires qualifiés ANSSI pour les audits et la mise en œuvre, et structuration de la gouvernance cyber avec implication formelle des dirigeants. L'ANSSI insiste : ne pas attendre la promulgation définitive pour agir. La fenêtre d'anticipation est courte, et les entités qui s'y prennent maintenant construisent leur conformité de manière progressive et maîtrisée, là où celles qui attendront juillet 2026 seront prises dans une course contre la montre réglementaire et opérationnelle.