Entre 2020 et 2024, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a recensé 123 événements de sécurité liés aux transports urbains, dont 32 incidents confirmés comme de véritables cyberattaques. Le reste correspond à des signalements : campagnes de phishing, divulgation d’identifiants ou mauvaises pratiques de sécurité. Bus, trams, métros, services de VTC ou de taxis : aucun mode de transport n’est épargné. Attaques en série, motivations multiples Selon l’agence, plus de la moitié des problèmes identifiés concernent des attaques DDoS, des fuites de données ou des usurpations d’identité. Le rapport note que « les services de transport, en raison de leur criticité, supportent mal les interruptions », ce qui en fait des cibles idéales pour les ransomwares. Ces attaques à visée lucrative visent à faire pression sur les entreprises pour qu’elles paient afin de rétablir leurs services. L’Anssi évoque notamment quatre cas de compromission par rançongiciel en France entre 2020 et 2024, sans impact majeur, mais révélateurs de la vulnérabilité du secteur. Les usagers ne sont pas non plus épargnés. Les bases de données gérées par les opérateurs – souvent riches en informations personnelles et bancaires – sont régulièrement ciblées. En 2023, Île-de-France Mobilités a par exemple signalé l’exfiltration de 4.000 adresses e-mail et mots de passe. Ces données sont revendues ou utilisées pour d’autres attaques, notamment par « bourrage d’identifiants ». Le rapport pointe une interconnexion massive entre les différents acteurs du transport : opérateurs comme Keolis ou Transdev, collectivités locales, prestataires techniques… Une complexité qui favorise la propagation des attaques. Les équipements eux-mêmes, comme les systèmes de signalisation ou les bornes de billetterie, sont souvent anciens et vulnérables, parfois mal protégés ou connectés à Internet sans cloisonnement suffisant. « Certains réseaux OT sont caractérisés par leur horizontalité et leur manque de cloisonnement », avertit l’agence. L’automatisation croissante – avec des métros pilotés par CBTC ou des systèmes de transport routier intelligents – multiplie les surfaces d’attaque. Le recours massif à l’IoT (caméras, capteurs, panneaux d’affichage) élargit encore cette vulnérabilité. La perspective des « smart cities », où les réseaux de transport sont intégrés à des systèmes urbains plus larges (gestion de l’eau, de l’énergie, de la circulation), inquiète l’Anssi. Elle cite en exemple l’attaque de 2023 contre la régie de transport de la ville d’Olsztyn, en Pologne, qui a paralysé la vente de billets et perturbé le trafic routier. Outre les motivations financières, certaines attaques ont des visées plus politiques. En 2024, les Jeux Olympiques de Paris ont été marqués par une hausse des cyberoffensives, notamment des attaques DDoS attribuées à des groupes hacktivistes prorusses. Des entités comme la RATP, Transilien ou des opérateurs de taxis ont été brièvement visés. L’Anssi n’exclut pas non plus l’espionnage industriel ou stratégique. Des cas ont été identifiés à l’international, comme l’attaque contre la MTA de New York en 2021, où des pirates liés à la Chine auraient exploité une faille critique. En France, peu d’attaques de ce type sont confirmées, mais l’agence reste prudente : ces opérations sont par nature difficiles à détecter. Le rapport conclut en appelant les opérateurs à renforcer leurs mesures de sécurité, notamment via le cloisonnement des systèmes, des audits réguliers, et une meilleure gestion des accès. Car à mesure que les transports deviennent plus connectés, la menace devient elle aussi plus mobile.