Cybersécurité : les transporteurs passent en mode sécurisé

La menace cyber est désormais prise très au sérieux par les pouvoirs publics comme par le monde économique. D’après le site officiel cybermalveillance.gouv.fr, l’hameçonnage reste la principale menace pour les entreprises comme pour les particuliers, représentant 20,7 % des demandes d’assistance en 2024, devant les piratages de comptes (19,6 %) et les rançongiciels (12,4 %, en baisse). Plus inquiétant encore, les actes de cyberharcèlement visant des entreprises ou des associations ont bondi de 556 % sur la même période.

Face à ce phénomène, la cybersécurité s’impose comme un enjeu majeur. Au niveau européen, elle a fait l’objet d’une directive adoptée en janvier 2023 : NIS2 (Network and Information Security). "NIS2 constitue le nouvel ensemble de réglementations en matière de cybersécurité. La directive impose des obligations aux acteurs économiques appartenant aux secteurs jugés cruciaux. Le transport-logistique (en B2B seulement, car le B2C demeure sous la bannière du RGPD) en fait partie, pour ce qui concerne les entreprises de plus de 50 salariés ou réalisant plus de 10 millions de chiffre d’affaires", explique Stéphane Lemarchand, dirigeant de Cyber-Network, société spécialisée dans l’audit et le conseil en matière de cybersécurité.

Cette réglementation européenne est en cours de transcription au niveau national. Les entreprises qui tombent sous le coup de cette directive doivent se doter d’une gouvernance cyber, sensibiliser leurs utilisateurs informatiques aux bonnes pratiques, et être en mesure de déclencher un PRA (plan de reprise d’activité) en cas d’attaque. En cas de non-conformité, les sanctions peuvent atteindre 2 % du chiffre d’affaires, selon Stéphane Lemarchand.

"Le TRM est un maillon vital pour l’économie, que les hackers se font une joie de cibler. Si les camions ne tournent pas, l’activité économique se grippe", alerte Fabien Grellier, DSI de Sinari, leader des solutions logicielles pour le transport et la logistique. Et de préciser que les Hackers sont à l’affût de tout point d’entrée de l’entreprise vers l’extérieur, d’une "faille en puissance". Sont particulièrement visés : les serveurs de messagerie (premières cibles du phishing), les serveurs internes, les sites internet, les connexions VPN, les TMS, WMS, capteurs, outils de traçabilité, tablettes embarquées et téléphones professionnels.

"Les assaillants – souvent des robots – vont identifier les failles susceptibles de leur permettre de récupérer les données afin d’escalader puis pénétrer au coeur du système d’information. L’objectif consiste à bloquer l’activité de l’entreprise en vue d’obtenir une rançon pour la faire redémarrer", complète Fabien Grellier.

Les hackers s’appuient souvent, à cette fin, sur des programmes appelés “sniffersˮ permettant de surveiller un trafic internet en temps réel pour capturer toutes les données entrantes et sortantes. Une étape initiale pour obtenir des informations utiles avant une intrusion plus profonde. Parmi les attaques fréquentes : les DDoS, qui saturent les systèmes pour mieux préparer d’autres offensives.

Les transporteurs de plus en plus exposés

Sinari a payé pour savoir. En mars dernier, le groupe a fait l’objet d’une cyberattaque par un rançongiciel. Une attaque rendue possible, selon Fabien Grellier, par la non-mise à jour de certains logiciels et l’absence de double authentification sur les logins et les mots de passe vers le VPN. Avec, heureusement, un moindre mal à l’arrivée. "Ce qui nous a sauvés, c’est que pour l’essentiel, nos outils (messagerie, CRM, facturation) étaient des logiciels SaaS qui n’ont pas été impactés par cette attaque, confie le DSI de Sinari. Nous avons pu reconstruire notre activité assez rapidement. Par ailleurs, nos clients transporteurs n’ont pas été affectés non plus, car l’ensemble des infrastructures que nous mettons à leur disposition étaient isolées de nos serveurs internes, avec des niveaux de sécurité supérieurs."

Le groupe Ageneau a également fait l’expérience, en 2015, d’une "cyberattaque d’ampleur", selon l’expression d’Arnaud Ageneau, cogérant de la société familiale. Elle était le fait d’un "cryptolocker", c’est-à- dire un rançongiciel dont le but consiste à chiffrer les données d’une organisation pour exiger une rançon en échange de leur déchiffrement. "Il est venu écraser et modifier l’ensemble de nos fichiers photos, Word, PDF et Excel. Heureusement, notre TMS n’a pas été touché parce que nous étions organisés en infogérance avec notre partenaire Sigma", précise le dirigeant du groupe choletais, en charge de l’informatique.

Pour sa sécurité informatique, le groupe Vingeanne se réfère aux préconisations de l’ANSSI. ©Vingeanne

Depuis, le transporteur a mis en oeuvre un dispositif de sécurité renforcé : dispersion des serveurs (avec redondance) dans plusieurs datacenters en région nantaise, Installation d’un système de vérification des pièces jointes avant leur distribution, sauvegarde à froid, adoption de nouveaux logiciels de protection (XDR, EDR et SIEM) et sessions d’information pour les 160 collaborateurs informatisés.

Par ailleurs, un informaticien, sur les quatre que compte le groupe, est exclusivement dédié à la surveillance des systèmes d’information. Face à ces attaques de plus en plus en plus fréquentes, la sécurité des systèmes d’information est devenue un enjeu du quotidien dans les entreprises du transport routier de marchandises.

Elle passe notamment par la diffusion des bonnes pratiques auprès des équipes, comme chez Vingeanne. "Finie l’époque où l’on enregistrait les mots de passe dans les navigateurs. Tout le monde a adopté la double authentification sur deux équipements différents. Nous évitons les mots de passe à moins de 12 caractères et nous utilisons une passphrase difficile à recoder (exemple : « Le jardinier de l’école de mon fils »). À l’arrivée, le fait de complexifier son identification rend compliquée une attaque potentielle", détaille Éric Le Chevalier, DSI du groupe piloté par la famille Plâ. Vingeanne a mis sur pied une équipe de huit informaticiens.

Les informations et préconisations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur les nouveaux modes opératoires en matière de cyberattaque sont scrutées à la loupe. Éric Le Chevalier a également jeté des ponts avec ses confrères DSI des autres entreprises du groupement Astre, dont Vingeanne est adhérent.

Mutualiser les efforts pour mieux résister

Au sein du groupement FLO, on appréhende le dossier de la cybersécurité au travers d’une commission baptisée NextGen. Animée par le Rochelais Pierre-Marie Hautier, président des Transports Hautier, elle rassemble les plus jeunes dirigeants (ou futurs) du groupement (une centaine d'entreprises membres). Plusieurs actions phares structurent sa démarche : interventions régulières de la gendarmerie de Nouvelle-Aquitaine avec des recommandations autour de cas concrets, accompagnement de l’assureur Guémas, et formations assurées par les experts de Stoïk sur les nouveaux modes opératoires des hackers.

Rançongiciel, hameçonnage, vols de données : la cybersécurité est devenue un enjeu stratégique pour les acteurs du transport. ©Adobestock

"Nous cherchons à comprendre la logique des cyberattaquants pour mieux anticiper leurs stratégies", souligne David Latreyte, secrétaire général du groupement. Il cite un cas parlant : un transporteur s’apprêtait à régler l’achat de deux semi-remorques, par virement. Un message frauduleux a intercepté l’échange et a substitué un RIB falsifié. L’argent est allé directement aux escrocs… "C’est par l’examen de cas concrets que l’on peut sensibiliser les dirigeants à la menace cyber", commente David Latreyte.

Chez Ageneau, l’expérience malheureuse de 2015 a été vécue comme “une forme de vaccinˮ. Le groupe s’attelle à la mise en place d’un plan de continuité d’activité sous la forme d’un pool regroupant des PC de secours non connectés au réseau actuel. "Auparavant, nous protégions le tour de notre infrastructure. À présent, nous protégeons chaque serveur, chaque dossier. C’est comme si nous installions un agent de sécurité dans chaque pièce de l’informatique", illustre Arnaud Ageneau.

Selon Olga Alexandrova, directrice déléguée au pôle Terrestre de l’Union TLF, une centaine de grands groupes du secteur ont constitué des équipes internes dédiées à la cybersécurité. "Ils sont un peu au-dessus de la mêlée. S’ils sont attaqués, ce sera par le prisme de l’ingénierie sociale", estime Stéphane Lemarchand.

Fabien Grellier, DSI de Sinari, rappelle que les hackers sont de vraies entreprises, avec une hiérarchie et des process bien rodés. ©Sinari

Au jeu du gendarme et du voleur, le rapport de forces semble déséquilibré, tant les techniques d’attaque des hackers sont toujours plus perfectionnées. "On ne peut pas empêcher une cyberattaque. On peut simplement en limiter les conséquences en demeurant aptes à reconstruire rapidement l’activité", résume Fabien Grellier. Même conclusion pour Éric Le Chevalier : "Affirmer que nous sommes tous protégés constitue un non-sens." Le risque reste d’autant plus élevé que l’intelligence artificielle, dont l’usage se démocratise à vitesse grand V, peut représenter un outil puissant entre les mains des cybercriminels.

En exploitant ses capacités d’apprentissage automatique et d’analyse massive de données, ces derniers créent des attaques plus sophistiquées, rapides et efficaces. Si aucune attaque impliquant l’intelligence artificielle n’a encore été détectée en France, selon cybermalveillance.gouv.fr, son utilisation malveillante croissante ne fait guère de doute. Mieux vaut s’y préparer dès maintenant.

Par Slimane Boukezzoula

Les services de l'État investis dans la Commission sûreté de l'Union TLF

La fédération professionnelle s’est dotée d’une commission dédiée, dirigée par Olga Alexandrova, également directrice déléguée au pôle Terrestre. Cette commission rassemble les directeurs Sûreté issus des rangs de ses plus gros adhérents. Mais elle accueille aussi des représentants des services de l’État (du ministère de l’Intérieur, de la Direction générale de la gendarmerie nationale, de la Brigade des stupéfiants, des Douanes et du Renseignement territorial). Tous ces acteurs interviennent sur les menaces qui proviennent de l’extérieur et qui visent les sociétés de transport de marchandises, y compris les flux à l’extérieur des entrepôts, ainsi que la criminalité et toute forme de malveillance à l’intérieur des entreprises.

"Cette commission est unique en France. L’idée consiste à mettre à jour toutes les formes de malveillance au travers des témoignages d’entreprises qui ont déjà été hackées, et par le prisme de l’observation des forces de l’ordre. La coopération entre ces deux groupes permet de mettre à jour les nouveaux modes opératoires", indique Olga Alexandrova. La commission Sûreté de l’Union TLF fait appel à des opérateurs spécialisés dans la cybersécurité dans le cadre de webinaires destinés à ses adhérents. Elle a également édité, avec le concours de la gendarmerie, un Guide de la sûreté du transport routier à l’usage de tous les acteurs du TRM et de la logistique. Au menu : état des lieux de la menace, préconisations en matière d’hygiène informatique, sécurisation des données et actions à mener en cas d’attaque. Ce guide est en accès libre sur le site de la fédération (lien raccourci : https://bit.ly/45ppxLB).

B2PWEB : verrouillage à tous les étages

La bourse de fret a placé la sécurité au coeur de ses process depuis sa création en 2006. La menace cyberattaque est prise tellement au sérieux qu’une équipe "cyber" (deux personnes à temps plein) a été constituée en septembre 2024. "Ils opèrent sur la sécurisation de la plateforme informatique et sur celle des datas du siège. Ils ont également pour feuille de route d’exercer une veille permanente sur la mise en lumière des nouvelles failles de sécurité et de préconiser les mises à jour adéquates. La détection des usages étranges sur la bourse de fret leur incombe également", explique Christophe Dellinger, DSI de B2PWeb.

Les têtes chercheuses de B2PWeb agissent sur plusieurs leviers dans leur politique de sécurisation : contrôle renforcé des sociétés de TRM qui toquent à l’entrée de la bourse de fret (vérification du Kbis, du numéro de Siren, des licences, des assurances, contrôle et verrouillage des coordonnées téléphoniques et des courriels) ; affichage d’un macaron qui indique la date d’ancienneté de chaque transporteur référencé sur la bourse ; recours à GedTrans pour l’examen et la mise en relation des documents avec les supports légaux.

"Deux fois par an, nous mettons en place, avec le concours de nos clients, une mise à jour de leurs utilisateurs intervenants sur la bourse de fret, ajoute Christophe Dellinger. Par ailleurs, en lien avec la Dreal, nous suivons à distance l’évolution du portefeuille de licences des sociétés." En outre, en un clic, les coordonnées (sécurisées au préalable) d’un transporteur qui consulte le fret disponible sont transmises par B2PWeb au déposant de l’offre. À noter que la bourse de fret est actuellement en course pour l’obtention du label ISO 27001 (sécurisation des systèmes d’information).