Pour le secteur ferroviaire, l'ENISA a identifié des menaces allant des ransomwares (45%) aux menaces liées aux données (25%), ciblant principalement les systèmes informatiques tels que les services aux passagers, les systèmes de billetterie et les applications mobiles, provoquant des interruptions de service. Les groupes d'hacktivistes lancent de plus en plus d'attaques DDoS contre les compagnies ferroviaires, en grande partie à cause de l'invasion de l'Ukraine par la Russie.
La plupart des attaques observées ont visé les systèmes informatiques ferroviaires (services aux voyageurs, systèmes de billetterie, applications mobiles, tableaux d'affichage, etc.), entraînant des perturbations dues à l'indisponibilité de ces services. ), entraînant des perturbations dues à l'indisponibilité de ces services. Citons par exemple les attaques par ransomware contre Skånetrafiken (août 2021) et Ferrovie dello Stato Italiane (mars 2022), qui ont entraîné l'impossibilité pour les clients d'acheter des billets après que les systèmes informatiques ont été infectés. Les seuls cas où les systèmes et réseaux OT ont été touchés sont ceux où des réseaux entiers ont été affectés ou lorsque des systèmes informatiques critiques ont été indisponibles.
Parmi les vols de données notables, on peut citer les cas d'OmniTRAX, de MTA, de Merseyrail, de Norfolk Southern Railroads et de Lokaltog A/S, où des dossiers personnels et médicaux ont été dérobés. L'affaire OmniTRAX est le premier cas publiquement connu d'une double attaque par ransomware à des fins d'extorsion à l'encontre d'un opérateur ferroviaire de fret américain.
Dans un autre cas, le réseau de l'opérateur ferroviaire danois DSB a connu des interruptions de service (octobre 2022) en raison d'une attaque contre l'un de ses fournisseurs de services TIC à la suite d'une attaque DDoS présumée. L'incident aurait affecté l'accessibilité d'un système informatique essentiel à la sécurité, perturbant les opérations de DSB pendant plusieurs heures ce jour-là.
Dans un cas intéressant, des hacktivistes ont lancé une attaque par ransomware contre la société nationale des chemins de fer du Belarus dans le but de perturber les mouvements des troupes russes (janvier 2022). Pour ce faire, le groupe a utilisé un ransomware modifié pour mettre hors service le système ferroviaire, en chiffrant les serveurs, les bases de données et les postes de travail appartenant au service ferroviaire biélorusse.
Les attaques DDoS sont en augmentation en 2022, représentant un cinquième (20 %) des attaques contre le secteur ferroviaire. Cela est principalement dû à l'augmentation de l'activité des hacktivistes suite à l'invasion non provoquée de l'Ukraine par la Russie. Des hacktivistes pro-russes ou anti-OTAN ont lancé des attaques DDoS contre des entreprises ferroviaires. Par exemple, des groupes de pirates informatiques pro-russes ont revendiqué des attaques contre l'opérateur ferroviaire CFR Calatori (avril 2022), les chemins de fer lituaniens (juin 2022), Latvian Passenger Railways SJSC (juin 2022) et les chemins de fer estoniens (août 2022).
En ce qui concerne les vulnérabilités (15 %), deux cas se distinguent. En décembre 2021, l'agence de transport canadienne Metrolinx a temporairement fermé son site web par mesure de précaution après avoir été informée par le gouvernement fédéral d'une vulnérabilité cybernétique. En janvier 2022, un pirate anonyme a signalé une vulnérabilité affectant le système ferroviaire national suisse, permettant potentiellement l'accès aux données personnelles des clients, l'ENISA conclut la partie de ce rapport consacrée au transport ferroviaire.
