Le mardi 1er juillet 2025, l’Université de l’ingénierie a organisé une conférence consacrée à la cybersécurité dans le secteur ferroviaire, sur le thème : « Cybersécurité, tous concernés : managers, collaborateurs, fournisseurs ». Cet événement, qui s’inscrit dans la mission de sensibilisation et d’ouverture portée par l’UdI, a rassemblé un large public, à la fois en présentiel et en distanciel. La conférence a été introduite et animée par Pierre Gibbe, directeur de l’UdI, qui a souligné le rôle de l’entreprise comme espace de partage et d’anticipation pour l’ensemble de la filière ferroviaire.
Au cours des échanges, de nombreux sujets ont été abordés sous différents prismes : l’état de la menace cyber dans les transports, les dispositifs de protection à mettre en œuvre, les évolutions réglementaires (notamment la directive NIS2), mais aussi les moyens humains et organisationnels nécessaires pour élever le niveau de sécurité numérique dans un secteur aussi critique que celui du ferroviaire.
📽️ Pour visionner le replay, c’est par ici
Sadio Bâ, Coordinateur sectoriel Transports à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a ouvert la conférence en rappelant les fondements de l’action de l’ANSSI. Agence placée sous l’autorité du Premier ministre, forte de 700 agents, l’ANSSI est en charge de la protection des systèmes d’information de l’État et des opérateurs d’importance vitale. Son approche est exclusivement défensive, axée sur la prévention, la remédiation, la diffusion de l’état de l’art et la montée en compétences de l’ensemble des acteurs publics et privés.
Il a ensuite présenté les quatre grandes familles de menaces auxquelles les systèmes sont aujourd’hui exposés : la cybercriminalité (majoritaire), l’activisme, l’espionnage et le sabotage. Dans le secteur du transport urbain et ferroviaire, les attaques sont très majoritairement motivées par des intérêts financiers : extorsion via rançongiciel, vol de données personnelles, déni de service. Mais la particularité du transport, a-t-il souligné, est qu’il implique directement des vies humaines : une attaque contre l’intégrité d’un système embarqué ou de signalisation peut avoir des conséquences graves en matière de sécurité physique.
Sadio Bâ a aussi mis l’accent sur la transformation du cadre réglementaire, avec la directive européenne NIS2, qui représente un changement d’échelle majeur. Contrairement aux dispositifs précédents, qui concernaient une centaine d’opérateurs critiques, la NIS2 imposera des obligations à des milliers d’entités, dont certaines ne sont pas encore conscientes de leur exposition. Il a précisé que la France est actuellement en retard sur la transposition de cette directive, dont la date butoir européenne était octobre 2024. Le texte a été examiné au Sénat et doit encore être adopté à l’Assemblée nationale. Une fois transposée, la directive dotera l’ANSSI de nouvelles prérogatives, notamment la possibilité de prononcer des sanctions administratives, à l’image de la CNIL, ce qui constitue une évolution majeure.
Pour conclure, il a rappelé que les solutions en cybersécurité sont connues – cloisonnement, gouvernance, filtrage, authentification – mais que le défi est dans leur mise en œuvre à l’échelle, dans un environnement complexe, hétérogène, souvent sous contrainte budgétaire, et composé d’un tissu d’acteurs inégalement matures.
Laurent Cebulski, Directeur général de l’EPSF (Établissement public de sécurité ferroviaire), a pris la parole pour exposer la manière dont l’autorité de sécurité s’est saisie du sujet cyber, historiquement excentré de son périmètre de compétence. Il a retracé l’origine de cette prise de conscience, en 2017, lors de la validation de lignes à grande vitesse comme Tours-Bordeaux ou Le Mans-Rennes. Conscient de l’interface grandissante entre sécurité ferroviaire et risques numériques, l’EPSF avait alors initié un groupe de travail réunissant l’ANSSI, SNCF Réseau, SNCF Voyageurs, l’Agence ferroviaire européenne et l’EPSF.
Ce travail collectif a abouti en 2021 à la publication d’un document de doctrine sur l’articulation entre sécurité ferroviaire et cybersécurité, un texte encore pleinement d’actualité. Il démontre la nécessité d’un dialogue permanent entre les autorités de sécurité et les acteurs en charge des systèmes d’information.
Laurent Cebulski a également évoqué les limites du cadre réglementaire actuel. Du côté européen, les spécifications techniques d’interopérabilité (STI) restent timides sur les aspects cyber. Les STI « contrôle-commande-signalisation » et « énergie » commencent à intégrer quelques notions de cybersécurité, mais cela reste marginal. À l’échelle nationale, les systèmes de gestion de la sécurité ferroviaire ne prennent pas encore suffisamment en compte la dimension cyber. Il a salué les efforts des grands opérateurs, comme la SNCF, qui intègrent désormais cette dimension de manière transversale, mais a souligné que cette approche n’est pas encore généralisée.
Il a enfin exprimé une préoccupation : la coexistence de directives (comme NIS2) et de règlements européens d’application directe peut conduire, si les transpositions ne sont pas harmonisées, à des distorsions entre États membres. Cela pourrait notamment créer des barrières à l’entrée pour certains opérateurs ferroviaires sur des réseaux nationaux, alors même que l’esprit du droit européen vise à favoriser l’interopérabilité et la concurrence.
Son intervention a été aussi l’occasion de rappeler que l’écosystème ferroviaire est diversifié : à côté de grands opérateurs matures, une multitude d’entreprises de taille modeste opèrent aujourd’hui sur le réseau, sans toujours disposer des compétences ou des moyens pour se doter d’une politique de cybersécurité structurée. C’est pourquoi l’EPSF accorde une attention particulière à la montée en maturité du secteur dans son ensemble.
Jean-Christophe Mathieu, Directeur de la Sécurité Numérique du groupe SNCF, est ensuite revenu en détail sur la double attaque subie par l’entreprise le 26 juillet 2024, à la veille des Jeux Olympiques. À 4h30 du matin, une opération de sabotage visait les lignes à grande vitesse, perturbant la circulation pendant plus de 48 heures. L’après-midi, c’est une attaque massive par déni de service (DDoS) qui a ciblé les systèmes numériques de l’entreprise. Cette séquence, selon lui, a été fondatrice : elle a démontré l’ampleur de la menace hybride et la nécessité d’un pilotage global de la sécurité, intégrant les volets ferroviaire, numérique, humain et industriel. Il a salué la mobilisation exceptionnelle des équipes et des partenaires, notamment l’ANSSI, et a présenté les enseignements tirés de l’exercice de « red teaming » mené en amont : un prestataire externe avait été mandaté pour infiltrer les systèmes via un poste factice, ce qui a permis de tester en conditions réelles la capacité de détection et de réaction de l’entreprise. En moins de quatre heures, l’intrusion avait été détectée. Ce type de test, selon lui, constitue un levier puissant de renforcement de la posture de sécurité.
Sur le plan stratégique, Jean-Christophe Mathieu a détaillé les quatre priorités de la politique cyber du groupe SNCF : protéger les clients, sécuriser les collaborateurs, fiabiliser les infrastructures (physiques comme numériques) et garantir l’intégrité des données. Loin de considérer les agents comme le « maillon faible », le groupe a choisi d’en faire un levier d’action, en misant sur la pédagogie et la responsabilisation. Il a également évoqué la nécessité d’un changement culturel dans l’approche des budgets cyber, invitant à dépasser la logique du pourcentage fixe du budget IT pour privilégier une approche proportionnée au niveau de risque. Il a conclu sur les effets vertueux attendus de la directive NIS2 : si son application sera exigeante, elle peut aussi constituer un levier d’accélération de la transformation.
Jean-Christophe Doucement, Responsable de la sécurité des systèmes d’information chez SNCF Réseau, a apporté de son côté une vision complémentaire en décrivant les enjeux propres à la gestion d’une infrastructure nationale de 28 000 kilomètres de voies. Cette infrastructure linéaire immense comprend une multitude de systèmes techniques, parfois anciens, parfois à la pointe de l’innovation comme le système Nexteo. Cette hétérogénéité structurelle rend la cybersécurité particulièrement complexe à piloter. Il a souligné que les systèmes industriels actuels sont de plus en plus asservis à des couches informatiques classiques, introduisant ainsi les vulnérabilités propres au monde IT dans des environnements historiquement isolés. Cette situation oblige à repenser les modèles de sécurisation, notamment à travers des approches de « défense en profondeur ».
Il a également insisté sur l’enjeu du maintien en conditions de sécurité sur la durée : un système conçu de manière sécurisée peut rapidement devenir vulnérable s’il n’est pas suivi dans le temps. La cybersécurité ne se limite pas aux projets : elle doit imprégner les activités quotidiennes des équipes de maintenance, d’exploitation et de supervision. Jean-Christophe Doucement a décrit les dispositifs d’accompagnement mis en place, notamment dans la conception des projets, en expliquant que les RSSI sont présents dès les phases amont et jusqu’à la mise en service. Il a enfin rappelé que la culture cyber repose autant sur la technique que sur la rigueur opérationnelle et la conscience des risques à tous les niveaux de l’organisation.
Gérald Aroulanda, Fondateur des sociétés Risk Hunter et Immunit, a enfin présenté le parcours de formation cybersécurité développé en partenariat avec l’Université de l’ingénierie. Ce parcours s’adresse à l’ensemble de l’écosystème ferroviaire : agents, managers, sous-traitants, clients institutionnels et autorités organisatrices. À travers des modules accessibles et progressifs, il vise à transmettre les bases de la sécurité numérique (phishing, gestion des actifs, identification des risques) mais aussi à accompagner les évolutions technologiques, comme l’irruption de l’intelligence artificielle dans les menaces. Il a souligné que la directive NIS 2 impose une maîtrise de la chaîne d’approvisionnement, ce qui implique un effort massif de formation sur l’ensemble des acteurs.
Lors de la session de questions-réponses, le public, présent en salle ou connecté à distance, a pu interroger les intervenants sur des sujets techniques, réglementaires et organisationnels. La difficulté à recruter des profils cyber a suscité un échange nourri : plusieurs intervenants ont partagé des exemples concrets de reconversion réussie, illustrant qu’un profil motivé – même issu de métiers très éloignés – peut devenir un professionnel de la cybersécurité. La féminisation du secteur a également été évoquée, avec des progrès notables constatés au sein du groupe SNCF, notamment dans les équipes opérationnelles. Des questions ont enfin porté sur les scénarios de crise, et en particulier le « scénario noir » : une attaque cyber provoquant des atteintes à l’intégrité physique. Si un tel cas ne s’est pas encore produit dans le ferroviaire, tous les intervenants ont souligné qu’il s’agissait du scénario de référence pour la planification, la conduite des actions et la résilience.
En conclusion, Pierre Gibbe a rappelé que la vocation de l’Université de l’ingénierie est aussi de faire dialoguer les métiers, les institutions et les expertises techniques sur les sujets clés pour l’avenir de la filière. Cette conférence a montré que la cybersécurité est désormais un enjeu collectif, transversal et incontournable, que chaque organisation doit s’approprier avec méthode, lucidité et ambition.