CloudSoul
Ressources · Blog · NIS2

NIS2 pour le transport : aviation, rail, maritime et route

NIS2 pour le secteur des transports : comprendre les obligations des opérateurs aériens, ferroviaires, maritimes et routiers au titre de l'Annexe I, Secteur 2.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 6 May 2026 · 11 min de lecture
NIS2
NIS2 pour le transport : aviation, rail, maritime et route

Qui devrait lire ceci : opérateurs de transport, responsables de la sécurité aérienne, gestionnaires de réseaux ferroviaires, opérateurs maritimes.

L’infrastructure de transport est le système circulatoire de l’économie européenne. Les réseaux aériens, ferroviaires, maritimes et routiers déplacent biens, passagers et données à travers les frontières, permettant le commerce, la connectivité et la mobilité personnelle. Toute perturbation de ces réseaux se répercute sur les économies et la vie quotidienne.

La directive NIS2 reconnaît cette criticité en désignant le transport comme secteur critique à l’Annexe I, Secteur 2. La portée est globale : elle inclut les fournisseurs de services aériens (aéroports, compagnies aériennes, gestion du trafic aérien), les gestionnaires et opérateurs d’infrastructure ferroviaire, les opérateurs de transport maritime et les opérateurs de transport routier gérant des infrastructures critiques. Pour toutes ces entités, NIS2 impose des obligations de cybersécurité proportionnées reflétant le caractère vital pour la vie et l’économie des systèmes de transport.

Les opérateurs de transport font face à des défis de cybersécurité uniques : leurs systèmes sont souvent à longue durée de vie (le système de contrôle du trafic aérien d’un aéroport peut fonctionner pendant plus de 20 ans), ils dépendent de matériel et logiciel hérités, ils intègrent la technologie opérationnelle (OT) avec la technologie de l’information (IT) et ils dépendent de chaînes d’approvisionnement complexes de fabricants d’équipements, fournisseurs de logiciels et prestataires de services. NIS2 exige que ces défis soient gérés proportionnellement tout en garantissant que le risque de cybersécurité ne compromette pas la continuité opérationnelle ou la sécurité publique.

Cet article décortique les exigences NIS2 pour les opérateurs de transport, clarifie la portée de l’Annexe I, Secteur 2, et fournit des conseils pratiques pour une conformité proportionnée dans ce secteur diversifié et complexe.

Définir le secteur des transports au titre de NIS2

L’Annexe I, Secteur 2 désigne le secteur des transports comme comprenant :

  • Les aéroports gérant le trafic aérien commercial.
  • Les compagnies aériennes et fournisseurs de services de navigation aérienne.
  • Les gestionnaires et opérateurs d’infrastructure ferroviaire (gérant les réseaux ferroviaires, les systèmes de signalisation et les centres de contrôle opérationnel).
  • Les opérateurs portuaires maritimes et les opérateurs de transport maritime fournissant des services de transport maritime.
  • Les opérateurs routiers gérant des infrastructures routières critiques (en particulier les opérateurs de grandes autoroutes).

Le fil conducteur est la fonction publique : ces entités fournissent des services de transport essentiels à l’économie et à la vie publique. Le système d’exploitation d’un aéroport, les systèmes de gestion des vols d’une compagnie aérienne, la signalisation ferroviaire et le contrôle du trafic, la navigation maritime et les opérations portuaires, et les systèmes de gestion du trafic routier sont tous désignés.

Surtout, la désignation se concentre sur le rôle de l’entité dans les opérations de transport, et non sur la seule possession de données sensibles. Une entreprise de cybersécurité peut traiter des données sur les opérateurs de transport, mais l’entreprise n’est pas elle-même un fournisseur de services essentiels, sauf si elle gère une infrastructure de transport critique. Inversement, un opérateur d’aéroport est désigné, qu’il traite ou non des données passagers ; sa désignation découle de son rôle dans les opérations aéronautiques.

Les États membres peuvent fixer des seuils de taille ou des critères sectoriels lors de la mise en œuvre de NIS2. Par exemple, certains États membres peuvent ne désigner que les grands aéroports (ceux dépassant un certain volume de passagers) ou les grandes autoroutes. Les responsables de la conformité doivent vérifier la mise en œuvre par leur État membre pour confirmer si leur entité entre dans le champ d’application.

Technologie opérationnelle, systèmes hérités et sécurité dès la conception

Les systèmes de transport présentent un défi de cybersécurité distinctif : ils opèrent à la frontière entre la technologie de l’information (IT) et la technologie opérationnelle (OT). Un système de signalisation ferroviaire est un système OT : il reçoit des données des capteurs, traite ces données et envoie des signaux de contrôle aux aiguillages de voie et aux freins de train. Contrairement à un système IT de bureau, une défaillance de la signalisation pourrait entraîner une collision de trains, des blessures ou des décès. La cybersécurité n’est pas simplement une question d’entreprise ; c’est une question critique de sécurité.

De nombreux opérateurs de transport héritent de systèmes anciens : systèmes de contrôle du trafic aérien conçus dans les années 1980, systèmes de signalisation déployés il y a plus de 20 ans et systèmes de navigation maritime antérieurs à la pratique moderne de la cybersécurité. Ces systèmes ne peuvent pas être facilement corrigés ; ils ne peuvent pas être mis hors ligne pour des mises à jour ; et ils peuvent ne pas prendre en charge l’authentification ou le chiffrement modernes.

NIS2 exige que les entités mettent en œuvre des mesures techniques et organisationnelles « proportionnées » (article 21). Pour les systèmes hérités, la proportionnalité reconnaît les contraintes techniques. Un opérateur ne peut pas remplacer du jour au lendemain un système critique pour la sécurité. Au lieu de cela, des contrôles proportionnés peuvent inclure :

  • Segmentation du réseau et isolement physique : isoler les systèmes OT critiques des réseaux IT généraux et d’Internet, réduisant ainsi l’exposition aux menaces véhiculées par Internet.
  • Surveillance et détection d’intrusion : même si les contrôles cryptographiques modernes ne sont pas réalisables, la surveillance des systèmes pour détecter les comportements anormaux et les commandes inhabituelles peut détecter les attaques.
  • Sécurité physique : contrôler l’accès physique aux systèmes critiques, en empêchant toute manipulation.
  • Gestion des fournisseurs : veiller à ce que les tiers fournissant la maintenance, les mises à jour ou l’accès à distance aux systèmes opèrent selon des protocoles de sécurité stricts.
  • Réponse aux incidents : établir des procédures pour la détection et le confinement rapides des incidents affectant les systèmes opérationnels.

Pour les nouveaux systèmes et les projets de modernisation, la sécurité dès la conception est l’attente. Lorsque les opérateurs de transport déploient de nouveaux systèmes, ils doivent intégrer la sécurité dès le départ : authentification sécurisée, communications chiffrées, code validé et résilience face aux défaillances.

Dépendances de la chaîne d’approvisionnement et risque tiers

Les opérateurs de transport dépendent de chaînes d’approvisionnement complexes. Les compagnies aériennes s’appuient sur des fabricants comme Boeing et Airbus ; les opérateurs ferroviaires dépendent de fabricants d’équipements de signalisation comme Siemens et Alstom ; les opérateurs maritimes utilisent des systèmes de navigation et de contrôle de fournisseurs comme Kongsberg Maritime ; les opérateurs routiers dépendent de logiciels de gestion du trafic provenant de divers fournisseurs.

Ces fournisseurs ne sont pas eux-mêmes des fournisseurs de services essentiels (sauf s’ils gèrent par hasard une infrastructure critique). Cependant, leurs produits et services sont essentiels aux opérations de transport. Une mise à jour de micrologiciel compromise d’un fabricant d’équipements peut se répercuter sur tous les systèmes de leurs clients. Une vulnérabilité dans un logiciel de gestion du trafic aérien affecte chaque aéroport utilisant ce logiciel.

L’article 22 exige que les entités s’assurent que leurs fournisseurs tiers mettent en œuvre des mesures de cybersécurité proportionnées. Pour les opérateurs de transport, cela signifie :

Diligence raisonnable des fournisseurs : évaluer les pratiques de cybersécurité des fournisseurs avant de contracter. Le fournisseur effectue-t-il des tests de sécurité ? A-t-il un programme de divulgation de vulnérabilités ? A-t-il des procédures de réponse aux incidents ?

Exigences contractuelles : établir des attentes claires en matière de cybersécurité dans les contrats. Exiger des fournisseurs qu’ils mettent en œuvre des pratiques de développement logiciel sécurisées, effectuent des tests de sécurité et fournissent des mises à jour de sécurité en temps opportun.

Notification des incidents : exiger des fournisseurs qu’ils notifient l’opérateur immédiatement dès la découverte de vulnérabilités ou d’incidents affectant les systèmes de l’opérateur.

Gestion des mises à jour et des correctifs : établir des procédures pour le déploiement rapide des mises à jour des fournisseurs, avec des tests pour assurer la compatibilité. Pour les systèmes critiques de sécurité, les procédures doivent garantir que les correctifs n’introduisent pas de nouveaux risques.

Visibilité de la chaîne d’approvisionnement : comprendre les dépendances de la chaîne d’approvisionnement. Le fournisseur sous-traite-t-il le développement ? Utilise-t-il des composants tiers ? Y a-t-il des points de défaillance uniques ?

Pour les opérateurs de transport, la sécurité de la chaîne d’approvisionnement n’est pas un simple exercice de conformité ; elle est essentielle à la sécurité et à la continuité opérationnelles.

Gouvernance au niveau du conseil d’administration et cybersécurité critique pour la sécurité

Les opérateurs de transport sont souvent réglementés selon des cadres de sécurité (autorités de l’aviation civile, régulateurs de la sécurité ferroviaire, autorités maritimes) en plus des cadres de cybersécurité. Ces régulateurs de sécurité considèrent la cybersécurité comme une question de sécurité : un incident de cybersécurité affectant un système critique est un incident potentiel de sécurité.

La gouvernance au niveau du conseil d’administration au titre de NIS2 (article 21) doit tenir compte de cette double réalité réglementaire. Les administrateurs et cadres dirigeants doivent comprendre :

  • Le risque de cybersécurité pour la continuité opérationnelle : quels systèmes sont les plus critiques ? Quel est l’impact des pannes ou des compromissions ?
  • Les implications pour la sécurité : comment un incident de cybersécurité pourrait-il affecter la sécurité publique ?
  • Les besoins d’investissement : quels investissements en cybersécurité sont nécessaires pour gérer le risque de manière proportionnée ?
  • Réponse aux incidents et escalade : comment l’organisation détectera-t-elle et réagira-t-elle aux incidents ? Comment l’escalade vers les régulateurs de sécurité se produira-t-elle si les incidents menacent la sécurité ?

Pour les opérateurs de transport, l’attention portée par le conseil à la cybersécurité doit se concentrer sur la résilience opérationnelle et la sécurité. L’indisponibilité représente une perte de revenus, mais plus important encore, elle peut affecter la sécurité publique, les passagers bloqués et le transport de marchandises critiques.

Réponse aux incidents et continuité d’activité

L’article 23 exige que les fournisseurs de services essentiels (y compris les opérateurs de transport) maintiennent des plans de réponse aux incidents et signalent les incidents significatifs aux autorités compétentes dans les 24 heures.

Pour les opérateurs de transport, la réponse aux incidents doit tenir compte de l’urgence opérationnelle. Un aéroport subissant une perturbation des systèmes de contrôle du trafic aérien doit rétablir rapidement les opérations ; tout retard pour enquêter peut se traduire en cascade par des vols cloués au sol, des avions détournés et des perturbations économiques. Simultanément, le rétablissement doit être effectué en toute sécurité : remettre les systèmes en ligne sans confirmer que l’attaque est contenue pourrait réinfecter le réseau.

La réponse aux incidents proportionnée pour le transport doit inclure :

Équipe d’intervention rapide : personnel dédié et formé pour répondre immédiatement aux incidents, avec l’autorité d’entreprendre des actions de confinement (déconnexion de systèmes, retour aux opérations manuelles).

Coordination avec les autorités de sécurité : procédures claires pour notifier les régulateurs de la sécurité des transports (par ex. autorité de l’aviation civile, régulateur ferroviaire) si les incidents menacent la sécurité.

Redondance et récupération : systèmes de secours, procédures alternatives et processus de récupération testés afin que les services puissent être rétablis rapidement.

Enquête forensique : la capacité d’enquêter sur les incidents après leur confinement, pour déterminer la cause profonde et prévenir la récurrence.

Documentation et transparence : signalement clair des incidents aux autorités compétentes, aux CSIRT nationaux et (le cas échéant) aux régulateurs de sécurité.

Transport transfrontalier et réponse coordonnée

Les réseaux de transport sont par nature transfrontaliers. Un incident aérien affecte plusieurs pays ; une attaque ferroviaire affectant les principaux corridors de fret affecte plusieurs États membres ; le transport maritime relie des ports éloignés. Les incidents significatifs affectant le transport nécessitent souvent une réponse coordonnée entre les États membres et, potentiellement, au niveau de l’UE.

Les articles 14 à 16 de NIS2 établissent des mécanismes de coordination (le groupe de coopération et EU-CyCLONe) pour la réponse aux incidents transfrontaliers. Les opérateurs de transport doivent être conscients que les incidents significatifs peuvent déclencher une notification non seulement à leur autorité compétente nationale et à leur CSIRT, mais aussi aux organes de coordination au niveau de l’UE et aux opérateurs de transport pairs.

Cette coordination transfrontalière sert plusieurs objectifs : elle permet le partage de renseignements sur les acteurs de la menace et les schémas d’attaque, elle facilite une réponse rapide en coordonnant les efforts de récupération et elle garantit que la continuité du transport est maintenue dans toute l’UE.

Points clés à retenir

  • Le transport (aviation, rail, maritime, route) est désigné comme infrastructure critique au titre de NIS2. La portée comprend les aéroports commerciaux, les compagnies aériennes, les services de navigation aérienne, les opérateurs ferroviaires, les opérateurs maritimes et les principaux opérateurs routiers.
  • La proportionnalité est essentielle pour le transport, étant donné la prévalence des systèmes hérités. Les contrôles doivent porter sur la segmentation du réseau, la surveillance, la sécurité physique et la gestion efficace des fournisseurs tiers, en reconnaissant les contraintes techniques des systèmes OT à longue durée de vie.
  • La gouvernance au niveau du conseil doit traiter la cybersécurité comme une question de sécurité, et non simplement comme une question d’entreprise. Les administrateurs doivent comprendre les systèmes critiques, les risques opérationnels, les implications pour la sécurité et les besoins d’investissement.
  • La sécurité de la chaîne d’approvisionnement est essentielle : les opérateurs de transport dépendent des fabricants d’équipements et des fournisseurs de logiciels dont les vulnérabilités se répercutent en cascade sur plusieurs opérateurs. La diligence raisonnable des fournisseurs, les exigences contractuelles et les procédures de notification des incidents sont essentielles.
  • La réponse aux incidents doit équilibrer un rétablissement rapide et un confinement sûr. Les opérateurs de transport doivent maintenir la redondance, des procédures de coordination avec les régulateurs de sécurité et des équipes d’intervention rapide.
  • La coordination des incidents transfrontaliers via les autorités compétentes nationales et les organes au niveau de l’UE (CSIRT, groupe de coopération) garantit que les incidents significatifs affectant plusieurs États membres sont traités aux niveaux appropriés.
Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.

À lire aussi

Encore plus depuis le blog.

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne
NIS2 · 31 May 2026

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne

Le Luxembourg a transposé NIS2 par la loi du 5 mai 2026, désignant l'ILR, le HCPN et CIRCL comme piliers institutionnels. Ce que toute entité essentielle ou importante doit savoir.
Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs
NIS2 · 29 May 2026

Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs

Comprendre le cadre de divulgation coordonnée des vulnérabilités de l'article 12 de NIS2. Comment chercheurs, fournisseurs et CSIRT interagissent dans le nouveau processus CVD européen.
NIS2 pour l'industrie manufacturière : automobile, électronique et machines
NIS2 · 27 May 2026

NIS2 pour l'industrie manufacturière : automobile, électronique et machines

Comprendre les exigences NIS2 pour les fabricants de véhicules, d'électronique et de machines. Ce que les « entités importantes » doivent mettre en œuvre au titre de l'annexe II.