Skip to content

Transports et logistique

une gestion des accès Zero Trust pour se prémunir des risques cyber

Selon le Baromètre des risques d’Allianz, publié en janvier 2025, 24 % des entreprises du transport et de la logistique placent les incidents cyber parmi leurs principaux risques. Ce chiffre reflète bien la dépendance croissante de ces secteurs à la technologie et l’impact critique d’une perturbation de leurs services informatiques sur leurs activités.

En 2023, un groupe de transport bordelais a vu l’ensemble de ses équipements informatiques et de ses activités mis à l’arrêt total suite à une cyberattaque. En cause, un problème d’accès accordé à un prestataire venu changer un scanner au sein de l’entreprise. Une situation qui illustre la nécessité, pour les entreprises de ce secteur, de sécuriser l’ensemble de leur supply chain, en insistant notamment sur la gestion des identités et des accès (IAM).

Différents acteurs des secteurs du transport, comme des entreprises du transport routier ou du transport maritime, et de la logistique  ont déployé la plateforme cyberelements pour sécuriser leurs accès distants (ZTNA) et les accès à privilèges (PAM) à leurs systèmes informatiques et industriels, ou encore pour gérer de manière rigoureuse leurs identités et droits d’accès (IGA).

Cet article examine la manière dont une plateforme IAM Zero Trust répond aux défis auxquels sont confrontés les secteurs du transport et de la logistique en matière de gestion sécurisée des identités et des accès. Cette approche Zero Trust prend tout son sens dans le cadre d’une démarche de mise en conformité NIS 2, qui impose l’adoption de nouveaux standards de sécurité.

Transports et logistique : des secteurs d’activité critiques par nature

Les activités des entités du secteur transports et logistique sont considérées comme fortement critiques. Les actes informatiques malveillants à leur encontre peuvent avoir des conséquences significatives, à la fois sur le plan opérationnel et financier : rupture dans la continuité des services de transports, pertes financières (lorsqu’une billetterie est touchée, par exemple), risque de paralysie d’une chaîne logistique, risques sur la sécurité des personnes (notamment dans le cas de la perturbation de la signalisation), atteinte à l’intégrité, la disponibilité et la confidentialité des données hébergées par ces entités (enjeu réglementaire), atteinte à la réputation et perte de confiance, etc.

Du fait de la nature critique de leurs activités, ces secteurs sont soumis à de fortes exigences de conformité. Les réseaux de transports aériens, ferroviaires, maritimes et routiers, par lesquels transitent aussi bien le transport de marchandises que celui de personnes, sont considérés comme des secteurs d’activités essentiels par la directive européenne NIS 2. Ce texte introduit un certain nombre d’exigences de sécurité, notamment en matière de gestion des identités et des accès. Les solutions IAM constituent des outils clés pour la mise en conformité à NIS 2, en particulier pour le contrôle d’accès, l’authentification multifacteur (MFA) et la gestion des identités.

La norme ISO 28000, qui concerne les organisations impliquées dans la fabrication, le service, le stockage ou le transport, établit un cadre pour identifier et gérer les risques de sécurité au sein de la chaîne d’approvisionnement, y compris certains aspects de sécurité de l’information.

Quels défis pour les transports et la logistique en matière de sécurité, de gestion des identités et des accès (IAM) ?

Un environnement distribué qui étend la surface d'attaque

Par nature, les secteurs des transports et de la logistique opèrent dans un environnement informatique hautement distribué : mobilité des utilisateurs, organisation multisites, infrastructures géographiquement dispersées, réseaux informatiques étendus, etc. Cette configuration complexifie considérablement la gestion des identités et des accès.

La multiplicité et l’hétérogénéité des plateformes, applications et systèmes utilisés représentent un autre défi majeur, chaque outil (TMS – Transport Management System, WMS – Warehouse Management System, ERP, etc.) ayant ses propres exigences en matière d’authentification.

Les systèmes de transports et de logistique sont marqués par une convergence entre l’IT et l’OT, qui fait s’interfacer les réseaux de traitement de l’information et les réseaux industriels utilisés pour gérer les opérations.

Les différents systèmes étant désormais interconnectés (logiciels embarqués, plateformes de billetterie, infrastructures cloud, capteurs IoT, gestion de flotte, supervision à distance, etc.), la surface d’attaque s’en trouve augmentée. L’automatisation et l’interconnexion croissantes des systèmes créent des vulnérabilités et de multiples points d’entrée pour les acteurs malveillants.

À cela s’ajoute la démocratisation de l’accès distant, qui répond au besoin d’accéder à distance et d’intervenir sur des machines situées sur les infrastructures de transport, y compris dans des zones géographiques où la connectivité est variable (sur des navires, par exemple).

Des chaînes logistiques complexes et fragmentées

Les secteurs des transports et de la logistique se caractérisent également par des chaînes d’approvisionnement complexes, faites d’interconnexions multiples, et avec de nombreux acteurs amenés à interagir. Dans le secteur de la logistique, chargeurs, logisticiens, transporteurs et éditeurs de logiciels échangent par exemple au quotidien à travers une multitude d’outils hétérogènes. L’interopérabilité entre des systèmes de nature différente introduit une difficulté supplémentaire.

L’étendue et la fragmentation de ces chaînes d’approvisionnement induisent un risque d’attaques plus élevé, les acteurs malveillants pouvant cibler des vulnérabilités chez des fournisseurs, partenaires ou sous-traitants, parfois moins bien sécurisés. La gestion des risques liés aux tiers, notamment la chaîne d’approvisionnement, est un enjeu important couvert par NIS 2.

D’autant qu’un nombre croissant de prestataires externes ont besoin, dans le cadre de leurs activités, d’accéder à distance aux systèmes informatiques de leurs clients pour y mener des actions d’administration, avec des accès à privilèges. Cette démocratisation de l’accès distant fait de la gestion et de la protection des accès à privilèges une mesure essentielle pour les secteurs des transports et de la logistique.

Une forte mobilité du personnel qui complexifie la gestion des mouvements des collaborateurs (onboarding et offboarding)

Le personnel de ces secteurs est marqué par une forte mobilité et un mouvement constant, inhérents à la nature de leurs activités. Chauffeurs, livreurs, personnels navigants, techniciens de maintenance itinérants sont en déplacement permanent, accédant aux systèmes d’information depuis des localisations multiples, dans des contextes qui ne sont pas maîtrisés pas les organisations.

Le recours à l’emploi temporaire et saisonnier y est fréquent et dépendant des fluctuations d’activité. Le taux de rotation y est également élevé, avec des entrées et sorties de personnel très régulières. Cette situation génère un flux constant de création et de suppression de comptes utilisateurs, dont la gestion inefficace peut créer des vulnérabilités significatives.

Tous ces éléments contraignent les entreprises à porter une attention particulière à la gestion des identités et des accès (attribuer les bons droits aux bonnes fonctions, révoquer de manière systématique les droits d’accès lors des départs, etc.), tout en maintenant leur agilité opérationnelle. Les exigences réglementaires sont également fortes en matière de sécurité des identités et des accès. La directive NIS 2 impose par exemple d’avoir des comptes actifs uniquement si nécessaire et d’éliminer les comptes inactifs (orphelins/dormants).

Se conformer à NIS 2 en matière de gestion des identités et des accès avec la plateforme cyberelements de Systancia

La directive NIS 2 impose aux entités concernées – notamment celles des transports, dont les activités sont considérées comme essentielles – de renforcer leur sécurité, et d’agir à la fois sur les volets gouvernance, pilotage, organisation, processus, pratiques, etc. Les technologies de sécurisation des accès au système d’information réglementé (SIR) peuvent aider ces acteurs à répondre de manière directe aux exigences de protection portées par la directive européenne NIS 2.

En savoir plus sur la directive NIS 2

Plateforme d’accès Zero Trust et Identity-First, cyberelements fournit des accès sécurisés et des capacités de gestion des identités, à la fois pour les collaborateurs à distance et sur site, les prestataires et l’ensemble des acteurs ayant besoin d’accéder au SI d’une organisation. Elle permet de répondre aux enjeux des entreprises des secteurs du transport et de la logistique en matière d’accès aux systèmes informatiques et aux systèmes industriels, à travers plusieurs fonctionnalités clés.

Environnement distribué et surface d’attaque étendue

cyberelements répond aux enjeux propres à un environnement distribué :

  • Architecture avancée (multitenants, multisites, multi VLAN).
  • Dispense d’utiliser un VPN pour accéder aux différents sites.
  • Flexibilité du déploiement grâce au déploiement d’une simple gateway avec appairage automatique.
  • Une architecture double barrière qui permet de n’exposer aucune ressource sur Internet.

Afin de répondre aux enjeux de convergence IT/OT :

  • cyberelements couvre de nombreux cas d’usage permettant de répondre aux nouveaux usages comme l’accès distant à l’application ICS sur la station d’ingénierie, l’utilisation à distance de l’application du constructeur via le bastion, le transfert de fichiers sécurisé.
  • cyberlements propose un accès web (HTML5) avec rupture protocolaire garantissant qu’il n’y a pas de connexion directe entre le terminal et l’environnement OT.

Fragmentation des chaînes logistiques et gestion des accès prestataires

cyberelements propose différentes fonctionnalités permettant de gérer la complexité inhérente à la fragmentation des chaînes logistiques :

  • Politique d’accès basée sur le principe du « moindre privilège », accordant l’accès après contrôle du contexte d’accès et uniquement pour les tâches à réaliser, minimisant ainsi le risque d’accès non autorisé.
  • Gestion des privilèges élevés à l’aide d’un coffre-fort de mots de passe, permettant ainsi de ne pas divulguer les secrets d’authentification.
  • Intégration de différentes options pour mettre en place un MFA permettant de vérifier l’identité du prestataire et intégration avec des protocoles d’authentification tiers, par exemple SAML / FIDO2.

Gestion rigoureuse des accès du personnel dans un contexte de forte mobilité

Les apports de cyberelements :

  • Centralisation de la gestion des utilisateurs et des identités permettant de gérer de manière automatisée le cycle de vie des identités.
  • Automatisation du processus d’attribution et de révocation des droits d’accès permettant d’attribuer le bon droit à la bonne personne et au bon moment, afin d’éviter d’avoir des comptes orphelins.
  • Gestion facile du contexte multisites grâce à une gestion fine des habilitations en tenant compte de l’appartenance à une structure (modèle OrBAC)​.
  • Génération d’audits détaillés et de rapports permettant d’identifier les droits arrivant à expiration et les comptes orphelins.
  • Modification rapide et cohérente des identités et des habilitations en fonction de la vie des entités (fusion / acquisition / extension).

En résumé : concilier conformité réglementaire, sécurité et mobilité

La directive NIS 2, qui s’applique aux entités des secteurs des transports, les contraint à rehausser leurs règles en matière de gestion des identités et des accès (IAM). La plateforme cyberelements permet aux acteurs des secteurs du transport et de la logistique de rationaliser et sécuriser leurs pratiques en matière d’IAM, en prenant en compte leurs contraintes (environnement distribué, chaînes logistiques complexes et fragmentées, forte mobilité des collaborateurs, etc.).

Rapide à déployer et simple à utiliser, la plateforme cyberelements permet de sécuriser à la fois les systèmes IT et OT des secteurs des transports et de la logistique, d’encapsuler des mesures de sécurité informatique complexes dans des dispositifs tangibles et physiques, tout en maintenant l’efficacité opérationnelle essentielle à ces secteurs. Rationalisant et sécurisant l’accès aux différents systèmes et applications, cette plateforme IAM répond ainsi aux besoins des entreprises de ces secteurs en matière de sécurité et d’efficacité des processus.