Culture de cybersécurité : un changement urgent à adopter

Mark Talbot, président exécutif de Q-Free, souligne l’urgence d’adopter des mesures de cybersécurité robustes alors que les systèmes de transport deviennent de plus en plus numériques et vulnérables

La gestion des transports et du trafic connaît une transformation rapide. À mesure que les agences et les partenaires technologiques embrassent la numérisation et les infrastructures pilotées par des logiciels, de nouvelles opportunités émergent pour rendre nos systèmes plus intelligents, plus efficaces et mieux adaptés aux besoins des communautés. Mais avec une connectivité accrue vient une plus grande responsabilité, notamment en ce qui concerne la protection des infrastructures critiques contre les menaces informatiques.

Chez Q-Free, nous nous engageons à faire progresser l’industrie avec résilience et prévoyance. Nous allons bientôt présenter l’une de nos innovations les plus importantes dans la lutte contre les menaces cybernétiques liées au transport. Nous croyons qu’elle a le potentiel de redéfinir l’approche des agences en matière de sécurité des contrôleurs de feux de circulation, et d’élever le niveau des attentes en matière de cybersécurité à travers l’industrie. Plus d’infos très prochainement.

En 2025, la cybersécurité ne sera plus un risque hypothétique, mais une question opérationnelle centrale devant être gérée activement. La préparation aux cybermenaces et la résilience doivent être surveillées et rapportées comme n’importe quel autre risque stratégique. La responsabilité de la gestion des menaces informatiques ne repose plus uniquement sur les départements informatiques. Dans les secteurs public et privé, la responsabilité s’étend désormais aux directions d’agence, aux équipes exécutives, et finalement, aux conseils d’administration.

Pourtant, de nombreuses agences manquent encore des ressources techniques ou des financements nécessaires pour établir des programmes de sécurité solides et atteindre un niveau de maturité cybernétique approprié. Lorsque des violations se produisent, les coûts sont souvent significatifs et non budgétés. Selon le rapport annuel d’IBM sur le coût d’une violation de données, l’impact moyen mondial a atteint 4,88 millions de dollars par incident, les coûts étant presque le double aux États-Unis.

Nous n’avons pas besoin de chercher loin pour voir les conséquences. À Toronto, une attaque par logiciel malveillant sur le système de transport de la ville en 2021 a perturbé le service et exposé des faiblesses du système. L’année dernière encore, l’agence devait gérer les répercussions, offrant une protection contre le vol d’identité à ceux dont les données personnelles avaient été compromises. D’autres villes ont vu des panneaux numériques détournés et des systèmes de signalisation compromis. Le mois dernier, le Département des Transports du Texas a subi une violation au cours de laquelle près de 300 000 dossiers d’accidents ont été volés, y compris des noms, numéros de permis de conduire, numéros de plaques d’immatriculation, détails des polices d’assurance et rapports de blessures. À Seattle, dans le quartier universitaire, des hackers ont piraté des avertissements sonores à plusieurs passages piétonniers pour diffuser de fausses messages de Jeff Bezos. Les hackers sont tout aussi prolifiques dans d’autres régions. Au Royaume-Uni, Transport for London, qui gère le métro et le transport de surface, a subi un piratage qui a impacté à la fois les services ferroviaires et de bus. Des données personnelles de cartes bancaires sans contact et des célèbres Oyster Cards du réseau ont été exposées, envoyant des ondes de choc à travers les agences européennes.

Ces incidents peuvent sembler isolés, mais ils révèlent une réalité plus profonde : les infrastructures de transport critiques sont désormais numériques et dangereusement vulnérables.

Nos systèmes sont sous l’attaque d’individus opportunistes exploitant des vulnérabilités, mais aussi d’acteurs malveillants cherchant à tirer profit ou à provoquer des perturbations à grande échelle. Ces violations ne causent pas seulement des retards de service ; elles mettent en danger l’argent public, la sécurité publique et la confiance du public. Bien que les violations isolées soient préoccupantes, la possibilité d’une cyberattaque coordonnée aux conséquences dévastatrices est alarmante. Trop souvent, nous traitons ces signes d’alerte comme des symptômes médicaux précoces, les ignorant en espérant qu’ils disparaîtront d’eux-mêmes, alors que l’histoire nous enseigne qu’il n’en est rien.

Des millions de personnes qui dépendent de nos réseaux de transport pour se rendre au travail, à l’école ou chez le médecin ignorent en grande partie qu’alors même que nous nous concentrons sur la sécurité routière, la congestion et les émissions, une menace différente est en train de croître silencieusement. Les systèmes de transport ne se limitent plus à la chaussée et aux signaux : il s’agit de réseaux, de logiciels, de capteurs et de systèmes interconnectés. Cette interconnectivité, tout en étant puissante, nous rend également plus vulnérables. Un seul cabinet de signalisation compromis peut sembler insignifiant, mais s’il donne accès à un système plus vaste à l’échelle de la ville ou même de la région, les conséquences pourraient être étendues. La solidité de notre infrastructure dépend désormais non seulement de son intégrité physique, mais aussi de la sécurité de chaque nœud du réseau.

L’une des voix les plus importantes dans la conversation sur la cybersécurité des transports aujourd’hui est mon collègue de l’industrie, Scott Belcher, ancien PDG d’ITS America et actuellement à la tête de SFB Consulting. Il a récemment rédigé un rapport pour le prestigieux Mineta Transportation Institute intitulé, “Le secteur des transports comprend-il les risques de la cybersécurité et ces risques sont-ils correctement priorisés ?” Ses résultats exposent une réalité troublante : de nombreuses agences de transport, en particulier les plus petites, restent vulnérables aux cyberattaques.

“La sophistication croissante des cybercriminels, combinée à une plus grande dépendance à la technologie dans le secteur du transport, expose l’industrie à un risque plus élevé qu’en 2020,” a écrit Belcher. Sa recherche a révélé que seulement 60 % des agences de transport américaines disposent d’un plan de préparation à la cybersécurité. Les systèmes plus petits, qui souvent servent des zones rurales et des communautés mal desservies, sont particulièrement vulnérables en raison du manque de ressources et de personnel nécessaires à l’établissement de programmes de sécurité solides.

Ce n’est pas seulement une question de technologie, mais aussi d’équité. Lorsque les protections cybernétiques sont concentrées dans de grands systèmes urbains, des millions de personnes dans de petites communautés restent exposées. Le rapport de Belcher appelle à un financement fédéral et à un leadership pour combler cette lacune et garantir que toutes les agences, quelle que soit leur taille, puissent mettre en œuvre et maintenir des mesures de cybersécurité appropriées. Bien que le rapport se concentre sur le transport, nos échanges montrent clairement que ces vulnérabilités s’étendent à l’ensemble du secteur des transports.

Un autre défi critique réside dans la connectivité croissante des systèmes de transport. À mesure que les régions poursuivent des opérations inter-juridictionnelles, une seule vulnérabilité dans un réseau peut compromettre d’autres systèmes. Et—pour paraphraser une expression familière—personne ne veut être le maillon faible.

Il est temps d’opérer un changement de culture. Les agences à travers le pays reconnaissent l’importance de la cybersécurité, mais un financement limité, des équipes sous-dotées et l’absence d’outils modernes et scalables freinent de nombreuses initiatives. Pour se maintenir face aux menaces évolutives, la cybersécurité ne peut pas être seulement un élément de budget IT. Elle doit devenir une partie intégrante de notre conception, de notre construction et de notre gestion des systèmes. Ce changement exige des outils modernes, un financement durable et une collaboration à l’échelle du secteur.

Chez Q-Free, nous nous engageons à devancer les menaces cybernétiques. Nos équipes R&D ont passé les cinq dernières années non seulement à innover, mais aussi à bâtir une fondation résiliente et sécurisée à travers tous nos produits et plateformes. Pour nous, la cybersécurité n’est pas une pensée après coup : elle est intégrée dès le départ.

Un exemple clé est notre solution pilote de facturation routière basée sur la distance et de gestion de flotte. Depuis le premier jour, la confidentialité et la cybersécurité ont été prioritaires aux côtés des fonctionnalités clés, telles que la durée de vie de la batterie et la facilité d’utilisation. Nous sommes convaincus que la protection de la vie privée est un prérequis pour la confiance du public et l’adoption par les utilisateurs, particulièrement dans un écosystème de transport de plus en plus interconnecté.

Des garde-fous tels que des procédures de démarrage sécurisé, des données cryptées et signées numériquement, et une séparation matérielle des fonctions de sécurité et d’application ont été intégrés à l’architecture du système dès le départ. Cette approche proactive non seulement respecte les exigences réglementaires actuelles et futures, mais reflète notre philosophie plus large : la sécurité n’est pas une fonctionnalité, c’est une fondation.

Avec cette fondation en place, nous nous apprêtons à franchir une nouvelle étape—une étape qui redéfinira les attentes en matière de cybersécurité dans le contrôle des feux de circulation. En amont du Congrès Mondial ITS, Q-Free lancera ce que nous croyons être le logiciel de contrôle des feux de circulation le plus sécurisé sur le marché nord-américain, intégrant un chiffrement de bout en bout, une authentification fédérée, et une architecture moderne conçue pour colmater les lacunes de cybersécurité existantes en matière de contrôle des intersections.

Cette mise à niveau représente non seulement une avancée en matière de cybersécurité, mais aussi un bold pas vers la définition d’un nouveau standard pour l’industrie—un exemple que nous espérons que d’autres suivront. Parce que la cybersécurité n’est pas seulement mon travail, celui de Q-Free, ou de nos concurrents. C’est une préoccupation universelle, nécessitant une mobilisation générale qui commence par la reconnaissance de la menace et le fait de l’affronter de front.

Dans son rapport, Belcher a appelé à une mise à niveau pour le XXIe siècle : un effort collaboratif des agences gouvernementales fédérales, des leaders de l’industrie et des dirigeants d’agence pour établir, maintenir et affiner les programmes de cybersécurité en continu. Belcher a tout à fait raison. À mon avis, nous devons moderniser notre infrastructure avec des solutions sûres et interopérables qui peuvent évoluer avec le paysage des menaces, adopter des normes IT modernes qui devancent les acteurs malveillants, et donner aux agences la flexibilité, la résilience, et les meilleures chances de résister aux menaces informatiques, tout en soutenant les plus petites agences avec des financements, des outils et des conseils pour adapter leurs systèmes, car la cybersécurité doit être une norme, non un privilège.

Cependant, la technologie seule ne comblera pas l’écart. Nous devons également adopter des protocoles indépendants des fournisseurs, promouvoir la collaboration et traiter la cybersécurité comme une responsabilité partagée à tous les niveaux de gouvernement et de l’industrie. Ce n’est qu’ainsi que nous pourrons bâtir un système de transport qui soit non seulement intelligent et connecté, mais aussi sécurisé et résilient.

Il peut sembler cliché de dire que le secteur des transports est à un carrefour, mais comme beaucoup de clichés, cela contient une vérité fondamentale. Les menaces informatiques augmentent en fréquence et en sophistication, et les acteurs malveillants qui les sous-tendent sont implacables. À mesure que notre infrastructure et nos véhicules deviennent de plus en plus interconnectés, notre réponse doit être tout aussi sophistiquée.

Ce changement de culture est facile à définir : il est temps pour notre industrie de surveiller les hackers aussi étroitement qu’ils nous observent.