- Speaker #0
Bienvenue dans l'œil de la cyber, le podcast qui donne la parole aux acteurs du numérique. Je suis Anne-Laure de Larivière, directrice de la communication chez Gatewatcher, et je reçois François Bidondo, RSSI du groupe RATP, qui participe aux évolutions et aux mutations de la mobilité. En 2024, plus de 10 millions de franciliens empruntaient chaque jour les transports en commun, et la RATP reste l'un des plus grands opérateurs urbains en Europe. Dans toutes les grandes métropoles, Cette mobilité est devenue un sujet brûlant. Métro autonome, biéthique sans contact, open data, tant sur les informations voyageurs en temps réel que la géolocalisation des bus, intelligence artificielle pour prédire les flux, la mobilité s'est transformée en une infrastructure numérique complexe. Nos transports publics sont désormais devenus un gigantesque système d'information. Ces innovations ouvrent des perspectives inédites, mais soulèvent des nouvelles contradictions. Comment concilier rapidité et sécurité ? modernité sans vulnérabilité. C'est ce que vous allez découvrir tout de suite dans ce nouvel épisode de Dans l'œil de la cyber. Retrouvez tous nos podcasts sur www.gatewatcher.com, catégorie podcast. Si vous aimez ce qu'on fait, pensez à vous abonner au podcast Dans l'œil de la cyber sur toutes les plateformes d'écoute pour ne pas rater la sortie du prochain épisode. Bonne écoute ! Bonjour François !
- Speaker #1
Bonjour Anne-Laure !
- Speaker #0
Merci d'avoir accepté mon invitation pour cet épisode. un peu spécial en direct des Assises de la Sécurité à Monaco. Avant de plonger dans les enjeux qui traversent l'écosystème des transports en commun et de la mobilité urbaine, j'aimerais qu'on prenne un petit moment pour revenir sur votre parcours. Alors, vous êtes ingénieur de formation et à ce titre, vous avez occupé plusieurs fonctions stratégiques en sécurité des systèmes d'information avant de rejoindre la RATP, où vous pilotez actuellement la protection d'un écosystème numérique reliant millions d'usagers, infrastructures critiques Merci. et partenaires internationaux. C'est bien ça ?
- Speaker #1
C'est exactement ça.
- Speaker #0
Alors quand on regarde votre parcours, on voit un fil rouge autour de la sécurité et des systèmes complexes. Qu'est-ce qui vous a conduit à vous spécialiser dans ce domaine ? Est-ce que c'est une appétence technique, un intérêt pour les enjeux stratégiques ou peut-être une conviction plus large sur le rôle que joue la cybersécurité dans notre société moderne ?
- Speaker #1
Alors merci pour votre invitation. Effectivement, comme vous l'avez dit, j'ai un parcours technique, une formation d'ingénieur en télécommunication et finalement ce qui m'a dirigé vers la cybersécurité, avant tout, c'est le hasard. Parce qu'à l'époque, la cyberscotte n'était pas un métier, ce n'était pas quelque chose qui était attendu en sortie d'école d'ingénieur, ni même partie prenante de la formation. Donc le hasard d'un stage de fin d'études dans la sécurité réseau m'a mis le pied à l'étrier sur ce domaine, domaine que je n'ai pas quitté depuis, et qui m'a permis finalement d'évoluer depuis. Le domaine a évolué sur la technologie, sur les enjeux d'entreprise, m'a permis aussi de me développer, de grandir dans ce métier, dans lequel on ne s'ennuie jamais. et qui me permet de combiner technologie et puis échange avec des interlocuteurs dans l'entreprise, qu'ils soient aux ressources humaines, aux juridiques, dans les métiers des diverses entreprises dans lesquelles j'ai pu travailler. Donc c'est un univers dans lequel on peut tout à fait évoluer.
- Speaker #0
Vous avez travaillé pour d'autres grands groupes avant, BNP Paribas, Alstom. Est-ce que ces enjeux diffèrent beaucoup en fonction des secteurs ?
- Speaker #1
Si les secteurs sont différents, les enjeux restent fondamentalement les mêmes. Il s'agit d'aider l'entreprise à produire son activité, qu'il s'agisse de services ou de produits finaux, comme effectivement la Détrin, développée par Alstom. Et donc, la démarche reste globalement la même. Il s'agit de développer une analyse de risque, comprendre les enjeux, les événements redoutés, et réfléchir sur la meilleure façon de protéger l'entreprise. Les secteurs, la réglementation, les moyens technologiques peuvent être différents, mais la finalité reste la même, c'est d'adapter tous ces moyens, tous ces outils à l'activité de l'entreprise pour assurer sa résilience et sa capacité à délivrer son activité.
- Speaker #0
Et donc vous pilotez aujourd'hui la cybersécurité d'un écosystème de mobilité très dense en Ile-de-France, mais aussi à l'international. Le réseau métro parisien compte déjà plusieurs lignes automatisées, la 1, la 4, la 14, donc soit un peu plus de 480 km de lignes automatiques et semi-automatiques, sans compter les autres transports connectés qui sont devenus une réalité quotidienne pour des millions d'usagers. La mobilité francilienne est donc autant numérique que physique. Comment est-ce que ce modèle métro et réseau numérique transforme-t-il les priorités d'un RSSI ? Et quand on pilote une piste, telle infrastructure, est-ce qu'on se considère encore comme un opérateur de transport ou carrément comme un acteur technologique à part entière ? C'est quoi les enjeux nouveaux en comparaison à une sécurité de système classique ?
- Speaker #1
Votre question touche au cœur de notre transformation. La RATP est évidemment un opérateur de transport, mais c'est aussi un opérateur de services technologiques aujourd'hui. Le métro, le bus, le tramway ne sont plus seulement des objets physiques, mais aussi des objets connectés. d'une certaine taille évidemment, mais ils embarquent du réseau, de la donnée, ils sont interconnectés à des réseaux. Donc les problématiques changent. Ça transforme notre approche pour sécuriser nos services et nos systèmes. Il ne s'agit plus uniquement d'assurer le fonctionnement de matériel physique, mais bien d'assurer la résilience, l'intégrité, la continuité de ces systèmes informatiques qui sont fondamentaux pour délivrer notre service public derrière. En effet, la perturbation de ces systèmes informatiques peut directement engendrer des perturbations réelles. dans la vie de tous les jours sur le fonctionnement de ces lignes de transport. Au niveau de la RATP, ça nous oblige à prendre en compte trois grands aspects. Le premier, c'est d'avoir à la fois des systèmes informatiques, qu'on pourrait qualifier de traditionnels, de classiques, comme on peut en retrouver dans n'importe quelle entreprise, qui a un système de gestion, et des systèmes dits industriels ou opérationnels, qui ont des cycles de vie, des technologies très différentes, et qui nous obligent à combiner des éléments qui, à première vue, Merci. sont antinomiques, notamment sur les systèmes industriels, leur cycle de vie par exemple est très long, il faut compter quelques années entre la conception d'un système et son déploiement, ce qui à l'échelle du numérique est inconcevable finalement, et l'exploitation de ces matériaux peut durer des dizaines d'années. On voit encore des systèmes de métro qui ont 10, 20, 30, 40 ans d'existence et qui continuent à fonctionner. Donc ça nous oblige d'un point de vue cybersécurité à repenser notre approche et l'approche traditionnelle de mise à jour.
- Speaker #0
Être capable de vous adapter en fait à différents niveaux, à différentes années en fait, de systèmes d'information qui ont différentes années en fait.
- Speaker #1
Exactement, l'obsolescence fait partie de notre quotidien, ce n'est pas quelque chose contre lequel lequel on doit absolument lutter, mais bien l'intégrer. Le deuxième point, c'est finalement la convergence entre numérique et physique. On ne protège pas uniquement des données des serveurs, mais bien un service essentiel dans la vie de nos collaborateurs, de nos usagers. S'il y a un impact sur le système informatique, ce sont des retards, des perturbations sur des lignes de transport. Donc ça touche des centaines de milliers, voire des millions de personnes dans la vie réelle. Et le troisième enjeu, c'est qu'on n'est pas tout seul pour opérer ces lignes, évidemment. C'est un écosystème où on parle beaucoup de... La supply chain, aujourd'hui, avec la réglementation qui met l'accent sur ce risque, finalement, nous, la supply chain est beaucoup plus large. On travaille avec des industriels comme Alstom, Siemens, Thales, dans la conception et dans la maintenance de nos systèmes, qui sont partie prenante du service public que l'on rend. Il y a des start-up, des partenaires autour de la biétique, notre autorité organisatrice de la mobilité dans les différentes villes dans lesquelles on opère et on exploite. Donc c'est vraiment un écosystème qui doit être sécurisé et coordonné pour assurer finalement la résilience du service. Donc en tant que RSSI aujourd'hui de cet acteur des transports, finalement mon objectif c'est que l'innovation, la connectivité soient au service de la qualité de transport. ne perturbe pas mais au contraire améliore la disponibilité et puis l'expérience des utilisateurs.
- Speaker #0
Alors justement là je voulais revenir sur un projet qui va avoir le jour dans très peu de temps avec le Grand Paris Express. La France va inaugurer un nouveau réseau de 200 km de lignes entièrement automatiques et ces systèmes sans conducteur reposent entièrement sur des algorithmes et des réseaux numériques. Pour un citoyen, ça peut paraître à la fois fascinant et un peu inquiétant. Qu'est-ce qui permet de créer la confiance des usagers dans une automatisation si poussée ? Et quels bénéfices concrets l'automatisation apporte à la sécurité et au confort au quotidien ?
- Speaker #1
C'est une préoccupation légitime, l'automatisation des lignes. génère quelques questions et la confiance d'utilisateur finalement c'est la pierre angulaire de notre métier. C'est ce qui permet à tout le monde de prendre en toute confiance, en toute sécurité nos moyens de transport et donc c'est fondamental. Déjà il faut comprendre que l'automatisation c'est pas un saut dans l'inconnu, c'est le résultat d'une ingénierie, d'une conception des systèmes et de la sécurité poussée à l'extrême. Pour créer cette confiance et cette capacité à délivrer des moyens de transport automatique, nous nous appuyons sur trois piliers. Le premier, c'est la redondance et la sûreté de fonctionnement. Les systèmes automatisés sont conçus avec des niveaux de redondance massifs. Donc si un composant est indisponible, pour différentes raisons, d'autres composants prennent le relais et on s'assure d'une continuité de service, de sécurité. C'est une architecture dite fail-safe, c'est-à-dire que des mécanismes en cascade sont prévus pour assurer la protection des usagers.
- Speaker #0
Quand vous parlez de composants, qu'est-ce que c'est exactement ? Est-ce que vous pourriez définir ?
- Speaker #1
Ça peut être un système de signalisation, ça peut être une porte automatique, ça peut être une caméra de vidéosurveillance. On s'assure d'une redondance et du fait que chaque composant n'est pas critique et indispensable pour le système, mais qu'il est bien compensé éventuellement par des systèmes équivalents. Le deuxième pilier, c'est la certification et les tests rigoureux. Avant de mettre en service un système automatique, Ce système est soumis à des milliers d'heures de tests, des simulations d'incidents, des audits externes, à la fois sur la sécurité, la sûreté et la cybersécurité. Nous travaillons notamment main dans la main avec l'ANSI, avec les industriels, que j'ai cités tout à l'heure, pour valider les protocoles, la technologie, toutes les procédures de sécurité. Avant d'être mis en service, un système a déjà une vie, quelque part, qui nous a permis de vérifier sa robustesse. Et enfin, on communique beaucoup. Et en toute transparence, nous expliquons aux usagers que l'automatisation permet d'optimiser les flux, ce qui réduit ainsi les risques d'incidents, les temps d'attente. Et vous me demandiez quels sont les bénéfices de cette automatisation. Le premier, c'est une meilleure ponctualité. C'est-à-dire que les rames de métro peuvent circuler plus rapidement, plus fréquemment, avec des intervalles réduits, ce qui permet de mieux absorber les pics de fréquentation. Et le deuxième bénéfice, c'est une capacité de transport augmentée. Sur une ligne comme la ligne 14, par exemple, nous pouvons faire circuler plus de trains par rapport à une conduite manuelle, ce qui permet d'absorber la demande croissante liée à l'extension de la ligne, par exemple récemment jusqu'à l'aéroport d'Orly.
- Speaker #0
Et alors sur les lignes qui ne sont pas encore automatiques, les lignes de métro par exemple, comment est-ce que vous faites le choix de soit moderniser l'existant, soit passer à créer de toutes pièces un nouveau réseau automatique, parce que j'imagine que les contraintes sont assez différentes et donc quels sont les enjeux de ces deux différentes approches et les enjeux techniques j'entends et comment vous faites ce choix là du coup ?
- Speaker #1
Alors il faut savoir que le choix n'est pas fait au niveau de la RATP, c'est plutôt une décision des autorités organisatrices, de la région dans laquelle on exploite. Par exemple sur un projet comme le Grand Paris Express qui a été décidé par la Société des grands projets et la région, ça a effectivement l'avantage de la tabula rasa, c'est-à-dire qu'on part de zéro donc on peut avoir une conception dite à l'état de l'art. en gardant en tête, comme je disais tout à l'heure, que la durée de vie d'un projet de cette ampleur est de plusieurs années. Donc c'est l'état de l'art de la conception il y a quelques années.
- Speaker #0
Parce qu'il n'y avait rien avant en fait ?
- Speaker #1
Il n'y avait rien, donc on construit effectivement des lignes de métro sorties de terre. Donc on crée des tunnels, on construit des gares et on construit de zéro, avec des spécifications arrêtées à une certaine date et puis quelques années plus tard. On voit arriver sur le terrain ces éléments. Donc ça permet effectivement d'avoir une conception prenant en compte l'état de l'art, l'expérience. Et finalement, l'enjeu technologique est peut-être moindre par rapport à une modernisation. Les enjeux sont plutôt financiers et sociaux parce que ça demande effectivement beaucoup de transformations et des investissements colossaux pour bâtir une infrastructure optimale et sortir de l'innovation. de terre sur une modernisation comme par exemple la notation de la ligne 13 qui a été annoncé par la région le défi est différent et sans doute plus compliqué plus complexe plus risqué c'est que techniquement, pour un opérateur comme nous, parce que nous devons faire évoluer des systèmes qui ont plusieurs décennies d'existence, de conception et puis d'existence, tout en les faisant cohabiter avec des technologies modernes. Si j'osais, je dirais que c'est comme changer le moteur d'un avion en plein vol. Il ne faut pas se poser, prendre le temps de sortir des éléments pour les remplacer. On doit gérer la cohabitation entre des vieux systèmes de signalisation sur les lignes, avec des systèmes numériques. Et donc il faut intégrer ces nouveaux systèmes sans créer de faille de sécurité.
- Speaker #0
Ça prend combien de temps de faire ça ?
- Speaker #1
Ça prend plusieurs années. Et donc la ligne 13 ne sera automatique qu'aux environs de 2035-2038. Une des raisons c'est aussi d'assurer la quantité de services. C'est-à-dire qu'on ne peut moderniser. et faire les travaux de modernisation, que la nuit, aux horaires où le service n'est pas offert, et les week-ends, en faisant des interruptions. Donc c'est une contrainte opérationnelle extrême, et une complexité de gestion de projet énorme, puisqu'on doit mettre en sécurité les systèmes avant de pouvoir intervenir, et les remettre en sécurité pour les opérer le lendemain matin. Donc ça étend forcément un projet de temps pleur sur des années. et puis évidemment ça... Il faut aussi anticiper les risques de cyberséploité, de rupture, puisqu'on modernise, on introduit de nouvelles technologies, ce qui suppose des tests, je vous l'ai évoqué tout à l'heure, de la recertification, des tests d'intrusion, et donc chaque étape, chaque intervention est validée avant d'être complètement acceptée.
- Speaker #0
On parlait d'enjeux techniques tout à l'heure, la biétique sans contact représente désormais plus de 80% des transactions sur le réseau francilien. Il y a également l'émergence du paiement par smartphone, par carte bancaire et bientôt la reconnaissance biométrique. Chaque validation génère des données. Les personnels, pour les trajets, les horaires, les habitudes de déplacement, comment est-ce que vous protégez cette masse de données comportementales et comment est-ce que vous conciliez innovation dans les services aux usagers et protection de leur vie privée ?
- Speaker #1
La biétique est un sujet géré par Ile-de-France Mobilité et nous avons en tant qu'opérateur une responsabilité dans la protection des données, des données des voyageurs. La biétique sans contact est effectivement un exemple de l'innovation que nous mettons en place. Encore une fois en collaboration avec notre autorité organisatrice dans laquelle nous garantissons la sécurité des données des voyageurs. La protection des données repose sur plusieurs couches. La première c'est le chiffrement, la protection technique de ces données. Toutes les données de paiement et les données liées à votre trajet sont chiffrées dès leur collecte en utilisant des protocoles sécurisés pour la transmission, le stockage. Les données bancaires ne sont jamais stockées en ligne ce qui nous permet d'assurer cette confidentialité. Le deuxième aspect, c'est la segmentation des réseaux. Chaque tronçon entre un élément de validation, un élément de stockage, sont protégés, filtrés, pour éviter éventuellement une propagation ou une fuite d'informations globale. Et enfin, nous avons un principe global de protection, de confiance zéro. Donc chaque partie de notre réseau peut être ciblée par une cyberattaque. On a mis en place des contrôles d'accès et de la surveillance spécifique pour être capable de détecter au plus tôt toute tentative d'intrusion. C'est un travail constant. L'innovation amène des bénéfices à l'usager, mais aussi des enjeux, des risques, que nous prenons soin de maîtriser, d'analyser et de maîtriser. Ça pose des questions. La reconnaissance biométrique, par exemple, qui est en vigueur dans certains pays, pose des questions. En Chine, ça sera mis en place sur la base du volontariat dans quelques tests. Peut-être qu'on y reviendra, mais c'est effectivement un sujet qui questionne nos approches actuelles.
- Speaker #0
Ça veut dire quoi que ce sera mis en place sur la base du volontariat ? Les usagers pourront choisir de donner accès à une reconnaissance faciale quand ils utilisent les transports ?
- Speaker #1
C'est effectivement une option qui est sur la table aujourd'hui. C'est-à-dire que ce sera parmi les différentes options de validation et de suivi. La reconnaissance biométrique sera proposée à chacun lors de sa souscription de passe ou de titre de transport. et pour être activé ou désactivé. Donc le cadre réglementaire reste quelque chose d'important pour nous. Et le RGPD, par exemple, nous permet d'avoir ce cadre de conscience en Europe. Et pour faire le parallèle avec ce qui se passe en Chine, par exemple, où la reconnaissance faciale est intégrée et permet aux opérateurs chinois de suivre le parcours de chacun, ce ne sera pas le cas en Europe.
- Speaker #0
C'est vrai que nous on En Europe, on a quand même une approche où on est un peu plus respectueux de la vie privée, plutôt que par rapport à la Chine. Est-ce que parfois, vous pensez qu'il faut renoncer à certaines innovations technologiques pour préserver la sécurité et les libertés ?
- Speaker #1
Je ne sais pas s'il faut renoncer mais il faut peut-être les adapter et encore une fois le cadre réglementaire est vraiment un cadre de confiance qui nous guide dans le choix technologique et son implémentation. Pour reprendre le cadre de la reconnaissance faciale, il ne s'agit pas aujourd'hui d'avoir la reconnaissance faciale dans les gares chez nous mais plutôt de mettre en place de la biométrie pour valider un titre de transport encore une fois sur la base du volontariat comme comme je l'évoquais donc il n'y a pas de stockage de biométriques à grande échelle ou si une circulation de cette information qui permettrait de suivre et donc de questionner le respect de la vie privée et de la liberté individuelle. Et donc on est en permanence en train de trouver un équilibre entre nouvelles technologies, donc bénéfices, innovations pour les usagers, et puis préservation de l'anonymat, de la vie privée, pour protéger nos usagers.
- Speaker #0
D'accord. On va parler cybersécurité maintenant. On parlait tout à l'heure des métros autonomes, de la biétique sans contact, de l'open data sur les informations voyageurs et de l'intelligence artificielle pour prédire les flux. Comment est-ce qu'on concilie rapidité et sécurité, modernité sans vulnérabilité d'un point de vue cyber ?
- Speaker #1
C'est un des grands enjeux et je pense qu'on va rentrer dans le détail avec vos prochaines questions sur le sujet. Mais c'est la question permanente d'être au service du métier. donc c'est l'innovation. Si il y a des choses qui effectivement amènent une rupture technologique et un bénéfice pour les utilisateurs, on est là pour accompagner les métiers et non pas freiner ces technologies ou ces innovations. Le risque de risque que j'évoquais au début de notre échange permet en permanence d'identifier les risques et donc de savoir lesquels on est préaccepté, lesquels on ne souhaite pas accepter et de mettre en place des contre-mesures pour accompagner le métier et non pas être un frein sur leur capacité d'innovation.
- Speaker #0
En 2016, je voulais revenir sur une cyberattaque qui a paralysé le réseau de San Francisco pendant 48 heures. En 2022, il y a eu la Deutsche Bahn en Allemagne qui a subi un accident qui a bloqué le trafic, un incident cyber qui a bloqué le trafic ferroviaire. Quels sont les scénarios les plus critiques pour la RATP et comment est-ce que vous vous y préparez ?
- Speaker #1
Ceux que vous évoquez sont des exemples concrets des risques qui pèsent sur les transports. Pour nous, les plus critiques sont ceux qui impacteraient directement la sécurité des voyageurs ou la continuité du service. Par exemple en perturbant des systèmes de signalisation, des systèmes de biéthique, d'information voyageur ou de contrôle d'accès. Ça reste en théorie quelque chose de faisable mais dans la pratique c'est très peu probable et toutes nos mesures de protection, nos analyses, y compris... pendant un événement comme Jésus Olympique, ont démontré que ces scénarios étaient quand même extrêmement probables.
- Speaker #0
J'espère qu'il y a eu des tentatives, mais elles ne sont pas pu atteindre leur but.
- Speaker #1
Sans parler de tentatives, on s'est nous-mêmes exercé, on s'est questionné dans cette période sur laquelle on reviendra peut-être, où tous les regards étaient tournés vers nous, sur finalement qu'est-ce qui pourrait se passer dans l'absolu. Et on a mis sur la table vraiment des scénarios totalement extrêmes. Et on a réussi à démontrer que beaucoup, été inopérable techniquement et donc peu probable. Et au-delà de la protection et des mesures de prévention que l'on met en place sur tous nos projets, on travaille beaucoup sur la résilience et la gestion de crise, notamment via des exercices de crise. Donc la préparation, l'entraînement, c'est indispensable, ça a beaucoup de vertu. Et donc nous menons des simulations d'attaque et des simulations de gestion de crise d'origine cybersécurité avec. Des équipes techniques, des équipes de direction, des agents sur le terrain pour tester les procédures, les améliorer, nos réactions. On fait entre 2 et 5 exercices par an sur différents métiers de la RATP pour nous exercer. Ensuite, nous avons des plans de continuité d'activité pour assurer un service minimal en cas d'incident majeur, comme c'est le cas pour toute perturbation de service. La cybersécurité n'est qu'un élément de perturbation, mais sur un... Un service de transport public comme le nôtre, finalement, il peut se passer beaucoup de choses qui perturbent le service, que ce soit des éléments climatiques, sociaux, technologiques. Donc la cybersécurité n'est qu'un élément de perturbation et donc nos plans de continuité sont prévus pour assurer un service minimum et générer le moins de perturbations. Et enfin, on travaille beaucoup avec les autorités. Je recite encore une fois l'ANSI, qui est un partenaire incontournable, avec lequel nous partageons beaucoup d'informations sur la menace qui pourrait se passer, les scénarios ou les exemples que vous avez évoqués, analyser concrètement ce qui s'est passé, voir si c'est transposable chez nous et le cas échéant, qu'est-ce qu'ils nous conseillent de faire. Et donc on se coordonne beaucoup avec eux pour améliorer notre capacité de réponse en cas de gestion de crise d'origine cyber.
- Speaker #0
Je voulais prendre un autre exemple, c'est les bus connectés de la RATP qui embarquent désormais des dizaines de capteurs. Il y a les GPS, les caméras de vidéosurveillance, les compteurs de passagers, les systèmes d'aide à la conduite. Les bus modernes sont un peu des smartphones géants sur roue. cette multiplication des objets connectés dans vos véhicules multiplie. J'imagine mécaniquement les surfaces d'attaque. Comment est-ce que vous sécurisez ces data centers roulants ?
- Speaker #1
Vous avez raison, chaque capteur, chaque connexion est une surface d'attaque potentielle. On peut qualifier un bus d'un data center roulant aujourd'hui. L'image est assez vraie. Donc ça nécessite une approche de sécurité spécifique par rapport à des matériels historiques totalement physiques et non connectés. Tout d'abord, Un peu comme sur les systèmes de transport qui sont déjà équipés de systèmes de connexion, tous les systèmes à bord sont cloisonnés. Donc les systèmes de conduite, de surveillance, de biosurveillance, de biétique, sont cloisonnés les uns des autres, ils sont isolés. Donc si un de ces systèmes est perturbé, ça n'empêche pas les autres de fonctionner. Donc il y a vraiment une stricte isolation, une segmentation entre ces éléments. Ensuite il y a un contrôle d'accès important, robuste sur tous ces systèmes. Donc l'authentification, l'accès à ces systèmes que j'évoquais, à ces réseaux, est filtré et demande une authentification. Et enfin, la maintenance, la mise à jour à distance ou dans nos centres bus est sécurisée également par des mécanismes de cryptographie pour éviter l'injection de codes malveillants par exemple.
- Speaker #0
On parlait tout à l'heure de... De service minimum, quels sont justement les protocoles que vous mettez en place à la RATP en cas de shutdown total suite à une cyberattaque ?
- Speaker #1
En cas d'impact majeur sur nos transports qui viennent d'une cyberattaque ou d'une perturbation, le premier élément à prendre en compte c'est l'impact sociétal, humain. C'est quand même au cœur de notre préoccupation et un enjeu fort de notre service public essentiel. Donc on regarde d'abord l'impact. humain avant de mettre en place un protocole spécifique pour reprendre une activité de transport. Et donc on active ensuite des plans de continuité avec notamment des services de substitution. On peut remplacer un métro par un bus, des navettes par exemple, ce qui nous permet d'avoir une certaine diversification. Et c'est pareil d'un point de vue cybersécurité, si certains systèmes sont indisponibles, on a d'autres moyens de communication pour reprendre le service. des moyens automatiques ou jusqu'aux moyens les plus manuels. Et on a toute une gamme développée au sein de la RATP pour être capable d'assurer, dans des conditions dégradées, un service de qualité minimum pour ne pas laisser les usagers sans solution. Même en cas de crise majeure, c'est vraiment notre engagement et notre responsabilité. On communique beaucoup, avec beaucoup d'autorités. Vous imaginez bien qu'un service public comme le nôtre, par exemple en région parisienne, Merci. nécessite, s'il y a une perturbation majeure, de communiquer avec les autorités, la région, la préfecture de police, les usagers évidemment, les mairies. Donc c'est quelque chose qui est extrêmement documenté et procéduré chez nous. Donc on a une gestion de crise, des protocoles de communication qui sont performants et testés régulièrement, comme je l'évoquais, sur les exercices.
- Speaker #0
C'est comme ça que vous intégrez finalement cette dimension humaine ? L'impact sociétal d'une cyberattaque sur votre réseau de transport, il est très important. Ça va arrêter, ça va bloquer des millions de trajets, domicile, travail, des rendez-vous de médecins, des cours à l'université. L'impact social est immédiat. C'est ce service de gestion de crise, de communication, qui vous permet d'intégrer cette dimension humaine. À votre approche de la cybersécurité ?
- Speaker #1
Exactement, c'est vraiment au cœur de notre métier. On est un acteur de service essentiel, je le dis, je le redis. Et donc on a cette responsabilité qui nous tient à cœur et toute l'entreprise est tournée vers cette capacité à délivrer un service essentiel à nos usagers et lorsque les conditions sont réunies de sécurité, de continuité. Et donc toute notre gestion de crise est tournée vers de l'information. L'information des usagers, des autorités et la capacité à trouver une solution le plus tôt possible pour effectivement, comme vous le disiez, permettre à ces millions de personnes de trouver un moyen de se déplacer pour répondre à leurs enjeux quotidiens.
- Speaker #0
Dans d'autres secteurs critiques comme les télécoms, les rapports montrent que l'erreur humaine reste une cause importante d'incidents, parfois entre 20 et 30% des cas. et environ 26% dans les incidents européens recensés. Pour un réseau aussi vaste et complexe que celui de la RATP, comment est-ce qu'on aborde ce fameux facteur humain ? Parce que j'imagine que former 15 000 agents et sensibiliser des millions de voyageurs, c'est un défi gigantesque. Quelles sont les méthodes les plus efficaces pour transformer la sécurité en réflexe collectif plutôt qu'en contraintes supplémentaires ?
- Speaker #1
C'est effectivement un enjeu majeur, le côté humain. C'est souvent vu comme le maillon le plus faible ou le plus fort des chaînes de sécurité. On essaie d'en faire le maillon le plus fort. Effectivement, tout le monde a un rôle à jouer. Collaborateurs, exploitants du réseau de transport, usagers, experts de la cybersécurité. Et donc, on accompagne notamment tous nos collaborateurs au sein du groupe RATP autour de trois approches. La première, c'est assez classiquement la sensibilisation aux enjeux. Avec une personnalisation par rapport au métier. on ne s'en souvise pas de la même façon Ceux qui travaillent sur le métro, ceux qui font la maintenance, ceux qui interviennent la nuit, qui ont des métiers manuels, que ceux qui ont accès aux postes de contrôle des métros par exemple. Et donc on a vraiment développé des capacités spécifiques, également autour de médias différents avec des approches... ludique, de jeux de rôle, de sessions de formation dédiées également. Donc on a du matériel pour diversifier finalement nos canaux de communication. J'insiste aussi beaucoup sur la culture de la sécurité positive. Comme je le disais, on a cette vocation à délivrer un service fiable et sûr. Et donc la sécurité, c'est quelque chose que l'on délivre dans l'entreprise. Et donc la sécurité, ce n'est pas une contrainte, C'est vraiment quelque chose qui est attendu par... par nos clients et qui est à valoriser. Et donc, en nous encourageant, nos agents, nos collaborateurs, à signaler les incidents, les anomalies, tout ce qui leur paraît anormal, et on les met en avant lorsqu'ils nous signalent des choses qui sont effectivement pertinentes. Et en aucun cas, on ne reprochera à un collaborateur d'avoir signalé... Un email potentiellement de phishing ou un système de contrôle qui serait défaillant. Au contraire, c'est quelque chose qui bénéficie à tous et qui est valorisé dans l'entreprise. Et enfin, on l'évoquait sur la sensibilisation des voyageurs. Des millions de personnes qui utilisent nos services tous les jours, donc on communique régulièrement sur les différents canaux. Surtout sur la protection des données, qui est une question qui revient souvent. Sur l'utilisation des Wifi publics, que l'on peut retrouver aussi dans nos gares et stations. Donc on a différents moyens d'affichage et de communication sur les bonnes pratiques à respecter.
- Speaker #0
Alors RATP Dev, qui est une filiale à 100% du groupe RATP, c'est le troisième opérateur mondial de transport urbain, qui est présent dans 17 pays. Il opère aussi à Londres, à Washington et Hong Kong, où les réglementations et les menaces diffèrent. Comment est-ce qu'on construit une politique cyber homogène à l'échelle mondiale ? Est-ce qu'il existe des territoires où vous observez des risques particulièrement spécifiques au transport public ? parce que... Est-ce que vous faites un travail conjoint avec ces différentes zones géographiques ?
- Speaker #1
Notre présence internationale est peu connue du grand public, mais ça nous oblige à adapter notre approche, et c'est quelque chose qui se développe de plus en plus, c'est dans notre stratégie. Le premier élément, c'est d'avoir un cadre de référence commun au sein du groupe RATP, que l'on soit en France ou à l'étranger. Quand on parle de cybersécurité, on doit parler avec le même langage, les mêmes métriques. On se base sur les meilleures pratiques internationales, on n'a pas réinventé un référentiel particulier, donc de l'ISO 27000 à des référentiels comme le NIST, qui permettent, quels que soient les pays dans lesquels on intervient, d'avoir un langage commun entre experts. Ensuite, on doit s'adapter aux réglementations, aux spécificités locales. Par exemple, à Washington, c'est les exigences de sécurité du gouvernement américain qui s'appliquent. En Italie, c'est la déclinaison de la directive NIS II, selon le droit italien qui est en vigueur, qui est différent de celle qu'on peut trouver en Belgique aujourd'hui. Donc il y a quand même des spécificités et on doit faire ce travail avec nos relais locaux d'identifier les différences d'interprétation.
- Speaker #0
Et justement, s'il y a des pays qui ont des exigences moins importantes que celles de la France, par exemple ? Est-ce que vous pouvez proposer des solutions plus exigeantes, qui proposent d'aller un peu plus loin dans ces spécificités, dans l'approche cyber ?
- Speaker #1
Au-delà du cadre réglementaire de ces pays, on a notre politique de cyber sécurité à l'RATP. Donc tous nos systèmes de transport et notre exploitation se basent sur un niveau de sécurité, de maîtrise du risque que l'entreprise souhaite proposer à ses clients. Et donc, même si la réglementation serait plus laxiste ou serait inférieure à ces exigences, c'est d'abord ce niveau qui est attendu et proposé par la RATP. Ensuite, on s'adapte à certaines contraintes locales en termes d'hébergement, de reporting, d'informations, mais nos systèmes sont conçus avec un niveau de cybersécurité qui est celui souhaité par la RATP pour délivrer le meilleur service fiable et sécurisé aux usagers.
- Speaker #0
Vous parliez tout à l'heure de collaboration, de coopération avec les industriels, vous parliez d'Alstom, de Siemens et puis d'institutions comme l'Annecy. Comment est-ce qu'on se coordonne dans un écosystème aussi vaste ? Est-ce que cette coopération internationale est devenue une condition de base de la résilience ?
- Speaker #1
Absolument. La coopération est indispensable aujourd'hui dans notre secteur comme dans beaucoup de secteurs dans lesquels les entreprises sont confrontées à ces menaces. On ne peut pas faire face aux menaces cyber tout seul. Aucune entreprise ne peut le faire aujourd'hui. Les attaques sont de plus en plus sophistiquées. Elles ciblent tout un écosystème. On l'évoque régulièrement avec l'ANSI et leur analyse de la menace sur les fournisseurs et toute la chaîne de sous-traitance. Et donc, le premier élément, c'est de partager l'information. On partage, je l'évoquais avec l'ANSI, avec le com' Cyber Ami, sur cette menace, les vulnérabilités, ce qui nous permet d'anticiper. Finalement, les défis auxquels on va être confrontés. Ensuite, on partage ces informations avec nos industriels qui conçoivent et délivrent les systèmes que l'on exploite, que ce soit les métros, les centres de commande, les systèmes de signalisation, pour que lorsqu'on spécifie des exigences de cybersécurité, ils aient déjà les informations, les éléments, et qu'ils puissent nous fournir des équipements sécurisés par défaut, adaptés. et à nos enjeux et à notre menace. Mais enfin, on travaille beaucoup à l'international, notamment au sein de l'Union internationale des transports publics, qui est une union des opérateurs de transports, comme la RATP, et nous avons aujourd'hui la vice-présidence du comité cyber-sécurité de l'ITP, ce qui nous permet d'avoir la meilleure vision et la meilleure compréhension de ce qui se passe à l'échelle internationale sur ces enjeux, et donc de nous adapter. sur cette connaissance de la menace.
- Speaker #0
Justement, on parle de coopération. L'Europe dépend encore largement de technologies étrangères pour ses infrastructures cloud, notamment des infrastructures cloud, de l'IA, de capteurs. Quand on pilote un réseau critique comme la RATP, est-ce que cette dépendance se ressent concrètement ? des... Des technologies parfois étrangères, américaines. Et comment est-ce qu'on fait pour bâtir une souveraineté numérique européenne crédible dans les transports ?
- Speaker #1
Vaste question. Effectivement, c'est un élément qu'on regarde dans le choix de technologie. On est vigilant sur l'origine des technologies, sur notre capacité à varier nos fournisseurs, nos socles d'opération. On essaie de privilégier les solutions européennes lorsque c'est possible et lorsque c'est pertinent. C'est un critère parmi d'autres qui est regardé lorsque l'on doit faire un choix technologique. En particulier, nous, on s'engage en soutenant des acteurs européens. On participe au développement de start-up, on est dans des groupes de financement et de participation à de l'innovation avec notre direction innovation. On travaille avec des startups pour les aider à se développer sur le domaine particulier qui est celui des transports, qui est une niche finalement dans laquelle on a beaucoup de besoins. On s'appuie évidemment sur les technologies qualifiées par l'ANSI, qui reste un guide important pour être capable de sécuriser nos infrastructures critiques. Pour autant, en tant que groupe mondial capable d'opérer aussi bien dans le Moyen-Orient qu'en Australie, qu'en Afrique, que dans tous les pays européens, on s'adapte aussi aux technologies, à la menace, aux environnements dans lesquels on est. nous opérons pour tirer le meilleur de technologie et être capable d'offrir la meilleure cybersécurité à nos clients et à nos usagers.
- Speaker #0
Alors peut-être une dernière question pour vous François, elle parle d'avenir et de résilience. On avait évoqué rapidement tout à l'heure les jeux olympiques qui ont été un test grandeur nature pour les transports franciliens avec des millions de voyageurs chaque jour. Quels enseignements est-ce que vous tirez de cet épisode et justement pour renforcer la résilience d'un réseau face à une pression exceptionnelle ?
- Speaker #1
Les Jeux Olympiques, c'était un événement extraordinaire et au-delà de la fête, c'était aussi un enjeu important pour le groupe RATP, pour beaucoup d'acteurs d'être présents et d'assurer des transports fiables, sécurisés pendant l'événement. On s'est beaucoup préparés, c'était un vrai test grandeur nature. pour les flux de voyageurs et aussi pour notre cybersécurité. Vous savez bien, on a été prévenu par les autorités que ça allait être un moment particulièrement sensible. Donc on s'est préparé pendant plusieurs mois, bien avant l'événement, avec tout l'écosystème, nos partenaires, les autorités. Et donc on a tiré certaines leçons, on a un héritage aujourd'hui sur lequel on capitalise pour offrir ce niveau de cybersécurité au quotidien à nos collaborateurs et à nos usagers. On a beaucoup travaillé sur la partie détection-réponse, qui était quelque chose sur lequel on souhaitait évoluer, considérer des scénarii que finalement l'enjeu des Jeux Olympiques avait poussé à des niveaux extrêmes de complexité, d'occurrence.
- Speaker #0
Vous avez détecté beaucoup de choses plus que d'habitude ?
- Speaker #1
Au-delà de la détection, on a mis sur la table des scénarii qui était finalement peu probable mais on s'est entraîné à tout cas de figure et donc on a notamment créé une équipe de réponse à incident, un CERT, qui est maintenant opérationnel et qui continue après le jeu olympique et qui nous a permis de monter en maturité, de professionnaliser encore plus notre capacité de détection et surtout de réponse aux incidents et sur lequel on s'appuie aujourd'hui. Donc le deuxième point c'était la collaboration entre agences et entre acteurs. Finalement, les Jeux Olympiques, c'était un événement qui nécessitait la collaboration de beaucoup d'acteurs, publics, privés, d'autorités, et donc finalement ça crée de la complexité aussi. Donc on a beaucoup travaillé cette communication, cette transparence, et notre façon de nous interconnecter avec les industriels, les pouvoirs publics, les opérateurs, qui continuent à être en œuvre aujourd'hui. On a créé des groupes d'échange sectoriels sur la cybersécurité, qui ont été créés à l'occasion des Jeux Olympiques, et qui continuent à fonctionner aujourd'hui. Et donc on a amélioré notre coordination avec nos partenaires en région parisienne ou dans d'autres villes, la SNCF par exemple. avec qui on coopère des lignes de RER. Cette coopération est réelle au quotidien et opérationnelle, et on continue à l'améliorer. Et pendant les Jeux Olympiques, c'était aussi l'occasion de faire des tests en situation réelle. Et donc, cette partie test, finalement, c'est presque ça que je retiens le plus. Pendant les Jeux Olympiques, on a eu la mobilisation de tous pour faire des simulations, nous préparer à tout cas de figure. puisque l'ensemble de l'écosystème était mobilisé autour de la préparation de l'événement. Et donc on a beaucoup appris, on a mis en place beaucoup de simulations pour nous préparer à tout cas de figure, y compris ceux qui finalement ne peuvent jamais arriver. Et donc on a une expérience sur laquelle on peut capitaliser. On a notamment participé à l'exercice de crise interministérielle en décembre 2023 qui préparait cet événement avec tous les pouvoirs publics, avec l'ANSI. et donc nos équipes sont maintenant... formés et bénéficient d'expériences inestimables pour continuer à assurer finalement la sécurité au quotidien.
- Speaker #0
Donc un événement positif sur lequel vous continuez de capitaliser aujourd'hui.
- Speaker #1
Exactement, un vrai héritage au bénéfice de tous.
- Speaker #0
Merci beaucoup François de vous être prêté au jeu de mes questions. C'est la fin de cet épisode. Nous avons compris que la mobilité n'est plus seulement une affaire d'infrastructure ou de technologie, c'est une question... de société qui touche à la confiance, à la souveraineté et à notre rapport au collectif. Derrière chaque métro automatisé ou application de mobilité, il y a des choix humains, politiques et économiques. Merci à vous tous qui nous écoutez. J'espère que cet épisode vous a plu. Retrouvez les clips vidéo de cet épisode sur mon LinkedIn Anne-Laure Delarivière. N'hésitez pas à nous suivre sur toutes les plateformes d'écoute et à nous laisser 5 étoiles sur Apple Podcast. A très vite dans l'aide de la cyber.
- Speaker #1
Merci Anne-Laure, c'était un plaisir.
- Speaker #0
Merci à vous.
![[S4E1] RATP : dans les coulisses numériques de la mobilité urbaine cover](https://image.ausha.co/GNV5OnPAgQbppPc1IuaSkKxKvpnXiqpVnAzwhhy0_400x400.jpeg)
![[S3E6_ENG] Cybersecurity Gets Local: The Challenge for Local Governments cover](https://image.ausha.co/d8uMASG2ItZtye90qoyXj3m4eXj7qxDykKtB9MfA_400x400.jpeg)
![[S3E6] Collectivités territoriales : la cybersécurité au défi du terrain cover](https://image.ausha.co/3goGlYS16ErOVleOYTu8tloElYHj4zE0jUEtaGIn_400x400.jpeg)
![[S3E5] Tech & Economie : le point de vue de la presse cover](https://image.ausha.co/jm7NZN0P9Dbex0oVLKVHfZbhJkozU26CFflpN4Y6_400x400.jpeg)
![[S3E4_ENG] Cybersecurity in French Retail - Insights from the CIO of one of France’s largest retailers group cover](https://image.ausha.co/GLowiZFpqTumvasi4gP9CZO4iXDJFwkTad0ttZiO_400x400.jpeg)