La dernière version d'IO Rapport sur l'état de la sécurité de l'information Ce constat met en lumière un secteur structurellement vulnérable et parfaitement conscient de sa situation. Les entreprises de transport et de voyages se situent au carrefour des infrastructures physiques, des plateformes numériques et des chaînes d'approvisionnement étroitement liées. En cas de problème, l'impact est immédiat et très visible : flottes immobilisées, production à l'arrêt, clients bloqués et perturbations en cascade chez les fournisseurs.

Les conclusions de cette année montrent que les responsables de la sécurité dans les transports et les voyages s'efforcent de suivre le rythme des menaces liées à l'IA, de l'accélération réglementaire et de la fragilité de la chaîne d'approvisionnement, tout en devant composer avec des contraintes budgétaires, une pénurie de compétences et un engagement inégal du conseil d'administration.

Parmi nos répondants figuraient des responsables de haut niveau en cybersécurité et sécurité de l'information au sein des écosystèmes des transports et des voyages au Royaume-Uni et aux États-Unis. Leurs réponses révèlent où la pression est la plus forte, comment les incidents se déroulent concrètement et sur quoi le secteur concentre ses efforts pour renforcer sa résilience.

Ci-dessous, nous décortiquons 11 statistiques clés que tout responsable du transport et du voyage devrait connaître, tirées du rapport de cette année.

Statistiques clés sur la sécurité de l'information pour le secteur des transports et des voyages

  1. 57 % affirment que la nature du secteur des transports et des voyages rend particulièrement difficile la mise en œuvre de mesures efficaces de sécurité de l'information.
  2. 46 % affirment que la haute direction considère toujours la conformité en matière de sécurité de l'information comme une question secondaire – malgré le fait que 86 % d'entre eux disposent d'une stratégie de sécurité claire et que 89 % soutiennent la responsabilité au niveau du conseil d'administration.
  3. Les contraintes budgétaires constituent le défi le plus souvent cité (48 %), tandis que 34 % sont confrontés à un manque de compétences en matière de sécurité de l’information et 33 % à un roulement et une fidélisation du personnel.
  4. 44 % affirment que le manque de sensibilisation des employés est un défi majeur, les erreurs courantes incluant les clics d'hameçonnage (29 %), l'informatique parallèle (26 %) et l'utilisation non sécurisée des appareils personnels (23 %).
  5. Plus de 74 % des entreprises de transport et de voyages ont déclaré avoir subi des incidents de sécurité au cours des 12 derniers mois.
  6. 54 % des personnes interrogées déclarent avoir reçu au moins une amende pour violation de données ou infraction à la protection des données au cours de l'année écoulée, la majorité de ces amendes s'élevant entre 101 000 et 250 000 £.
  7. 37 % ont été touchés par un incident lié à un tiers ou à un fournisseur au cours des 12 derniers mois – 17 % à plusieurs reprises et 20 % une seule fois.
  8. 77 % ont adopté de nouvelles technologies telles que l'IA, l'apprentissage automatique ou la blockchain, mais 54 % disent avoir adopté l'IA trop rapidement et 33 % signalent que des tâches sont remplacées par l'IA sans contrôle humain de conformité.
  9. 94 % se sentent préparés au phishing et à l'usurpation d'identité générés par l'IA, et 89 % aux deepfakes et aux logiciels malveillants pilotés par l'IA – pourtant, 20 % signalent encore une utilisation non autorisée des outils GenAI par les employés.
  10. 40 % d'entre eux déclarent avoir du mal à déterminer quels processus de sécurité peuvent être automatisés en toute sécurité.
  11. 46 % citent une infrastructure de sécurité rationalisée comme leur retour sur investissement le plus important en matière d’efforts de sécurité de l’information, suivie de meilleures décisions commerciales (43 %), d’un plus grand attrait pour les investisseurs (40 %) et d’une augmentation des ventes ou de nouvelles opportunités (37 %).

Sécurité des tiers et de la chaîne d'approvisionnement

Peu de secteurs ressentent aussi fortement l'impact des perturbations des chaînes d'approvisionnement que les transports et les voyages. Jaguar Land Rover (JLR) Une cyberattaque l'a clairement démontré : un seul incident a interrompu la production, suspendu les systèmes informatiques et provoqué un choc qui s'est répercuté sur des milliers de fournisseurs et d'économies locales.

Nos données montrent que ce n'est pas un cas isolé. Plus d'un tiers des organisations ont été victimes d'incidents impliquant des tiers au cours de l'année écoulée. Lorsque de tels incidents se produisent, les conséquences vont bien au-delà du point d'entrée initial : le vol de données affectant les clients, les employés ou les partenaires est fréquent, tout comme les coûts financiers imprévus, les retards dans la chaîne d'approvisionnement, les interruptions temporaires et, dans certains cas, la perte de partenariats ou de contrats clés.

En conséquence, les exigences des fournisseurs se durcissent. De nombreuses organisations exigent désormais ISO 27001, ISO 27701 et/ou ISO 42001 de partenaires, ainsi que des cadres tels que Cyber ​​Essentials, SOC 2, le NIST et des réglementations comme NIS 2 et TISAX. Seule une petite minorité n'est soumise à aucune norme de sécurité.

Les plans de dépenses confirment cette évolution. Près de la moitié des entreprises prévoient d'accroître leurs investissements dans la sécurité de la chaîne d'approvisionnement et des prestataires tiers au cours des 12 prochains mois, aucune n'envisageant de réductions. On s'éloigne des questionnaires ponctuels et des audits isolés pour privilégier un contrôle continu, structuré et fondé sur des preuves des fournisseurs, aligné sur les mêmes cadres et les mêmes rapports utilisés en interne.

L'évolution du paysage des menaces

Le tableau des incidents dans le secteur des transports est vaste et persistant. Les menaces traditionnelles, telles que le phishing, les logiciels malveillants et les intrusions réseau, restent bien ancrées. Environ un tiers des organisations signalent des incidents de phishing ou de vishing, et un nombre presque équivalent signale des infections par des logiciels malveillants. Des proportions plus faibles, mais non négligeables, signalent des attaques par rançongiciel, des attaques DDoS, des violations de données liées à l'IoT et aux appareils mobiles, l'empoisonnement de données par l'IA, les deepfakes et les compromissions de la chaîne d'approvisionnement.

Les violations de données sont bien réelles. Les données clients, employés, financières, de recherche, de produits et de propriété intellectuelle sont toutes compromises en nombre significatif. Concernant les données personnelles, les conséquences sont particulièrement graves : la plupart des organisations touchées font état d’amendes réglementaires, et la moitié d’entre elles indiquent que les violations de données personnelles ont contribué à leur fermeture ou à un changement de stratégie.

À cela s'ajoute un paysage de menaces en constante évolution, alimenté par l'IA. Le phishing généré par l'IA est désormais la principale préoccupation émergente, suivi par la désinformation, l'usurpation d'identité via deepfake lors de réunions virtuelles et l'IA fantôme. Les compromissions de la chaîne d'approvisionnement et les ransomwares restent d'actualité, mais le centre de gravité s'est déplacé vers des attaques utilisant l'IA pour amplifier et personnaliser les techniques traditionnelles.

Le risque ne réside pas seulement dans la sophistication de ces attaques, mais aussi dans la réalité opérationnelle selon laquelle de petites défaillances chez un sous-traitant, un partenaire logistique ou un fournisseur de logiciels de niche peuvent rapidement se propager en cascade à travers des réseaux interconnectés.

Compétences, épuisement professionnel et surcharge opérationnelle

Le rapport met également en lumière un secteur soumis à une pression opérationnelle constante. Aux contraintes budgétaires s'ajoutent une pénurie persistante de compétences et des difficultés à fidéliser le personnel. Même lorsque l'épuisement professionnel n'est pas explicitement mentionné, l'accroissement des responsabilités, les nouvelles technologies, les nouvelles réglementations et la complexité des chaînes d'approvisionnement font de la capacité de production une préoccupation permanente.

Cette pression dépasse le cadre des rôles spécialisés. Les équipes sont confrontées à une prolifération d'outils, à des tableaux de bord qui se chevauchent et à des flux de travail incohérents. Nombre d'entre elles prévoient de privilégier la consolidation, et une part importante peine à déterminer quels processus peuvent être automatisés en toute sécurité. Trop d'outils, une intégration insuffisante et l'incertitude quant aux limites de l'automatisation compliquent le maintien d'une vision unique et fiable des risques et de la conformité.

Dans un contexte où le temps et la sécurité sont des facteurs critiques, ce manque de cohérence peut se traduire par des lacunes dans la surveillance, des preuves incomplètes et une forte dépendance à l'égard de l'expertise individuelle. À terme, ce modèle opérationnel n'est pas viable.

Pression réglementaire et complexité de la conformité

Les exigences réglementaires en matière de protection des données, de gouvernance de l'IA, de résilience opérationnelle et de sécurité de la chaîne d'approvisionnement se durcissent. Six dirigeants du secteur des transports et des voyages sur dix affirment que le rythme et l'ampleur des changements rendent difficile le maintien de la conformité.

Cependant, les compétences sont inégales. Environ un tiers des entreprises se sentent parfaitement aptes à gérer en interne les cadres réglementaires tels que le RGPD, la NIS 2 et la DORA, tandis qu'un autre tiers se sent globalement compétent mais a encore besoin d'une aide externe. Les autres entreprises font état de lacunes en termes de temps, de compétences spécialisées ou de soutien de leur conseil d'administration.

Les résultats le confirment : plus de la moitié des organisations du secteur ont reçu des amendes pour non-respect de la protection des données au cours de l’année écoulée, dont beaucoup s’élevaient à six chiffres.

Lorsque la conformité est bien gérée, les avantages sont évidents. Les dirigeants mettent en avant une infrastructure rationalisée, une meilleure prise de décision, une plus grande attractivité auprès des investisseurs, une réputation renforcée et de nouvelles opportunités commerciales comme autant de retours concrets. Les données confirment un changement de mentalité : pour de nombreuses organisations, la conformité devient un levier de croissance maîtrisée et de résilience, plutôt qu’une simple réaction aux exigences des autorités de réglementation.

Comportement des employés et risques internes

La culture de la sécurité demeure un point faible récurrent. Si certaines organisations ne signalent aucune erreur commune de la part de leurs employés, beaucoup d'autres constatent un schéma récurrent : clics d'hameçonnage, utilisation du Wi-Fi public à des fins professionnelles, informatique parallèle, appareils personnels non gérés et partage de fichiers non sécurisé. Le non-respect des réglementations et les pratiques de mots de passe faibles sont également des problèmes courants.

Ces comportements sont particulièrement risqués dans le secteur des transports et des voyages, où le personnel peut avoir accès aux systèmes opérationnels, aux données clients, aux plateformes logistiques ou aux portails fournisseurs. Lorsque les processus sont flous, complexes ou dispersés entre plusieurs outils, les employés ont naturellement tendance à privilégier des solutions de contournement qui leur semblent plus rapides, même si cela engendre de nouveaux risques.

Le défi pour les responsables de la sécurité ne se limite pas à la sensibilisation, mais consiste également à concevoir et à appliquer des processus qui fassent de la voie sécurisée la voie par défaut, intégrée aux systèmes déjà utilisés par les utilisateurs.

Leadership et orientation stratégique

Des signes encourageants indiquent que la sécurité gagne en importance. La plupart des organisations déclarent disposer d'une stratégie de sécurité claire et bien communiquée, et près de neuf sur dix estiment que chaque entreprise devrait désigner un responsable de la sécurité de l'information au sein de sa direction.

Cependant, près de la moitié des personnes interrogées estiment que leur direction considère la conformité comme une question secondaire. Ce décalage est problématique. Face à des messages contradictoires de la direction, les équipes doivent concilier des objectifs ambitieux en matière de sécurité et de conformité avec des budgets et des ressources limités.

Dans un secteur où le risque opérationnel est étroitement lié à la sécurité, à la continuité des services et à la confiance dans la marque, les organisations les mieux placées pour réussir seront celles dont les conseils d'administration considèrent la sécurité de l'information comme une dépendance essentielle de l'entreprise, et non comme une simple formalité administrative.

Garder une longueur d'avance grâce à une résilience structurée

Le secteur des transports et des voyages doit composer avec les chaînes d'approvisionnement mondiales, les menaces liées à l'IA, le durcissement de la réglementation et les capacités internes limitées. Pourtant, la tendance est claire : les entreprises investissent de plus en plus dans la protection contre l'IA, la réponse aux incidents, la sécurité de la chaîne d'approvisionnement et la conformité. Elles prévoient de consolider leurs outils, de renforcer leurs exigences envers leurs fournisseurs et de formaliser leur gouvernance.

Le constat commun des conclusions de cette année est que les approches manuelles, fragmentées et dépendantes des individus atteignent leurs limites. Les organisations les mieux placées pour les 12 prochains mois seront celles qui adopteront des systèmes intégrés et reproductibles de gestion de la sécurité et de la conformité, réunissant les personnes, les processus, les contrôles et les données fournisseurs au sein d'un modèle opérationnel unique.

Ce faisant, les entreprises de transport et de voyages peuvent réduire les risques, améliorer leur capacité à absorber les incidents et à s'en remettre, et bâtir une base plus stable pour l'innovation et la connectivité que leurs clients attendent désormais comme norme.

Consultez le rapport complet sur l'état de la sécurité de l'information.