La RATP mise sur la cybersécurité pour assurer la fiabilité de ses infrastructures connectées. Métros automatiques, bus autonomes, systèmes d’information complexes : François Bidondo (Efrei 03, CEDEP 23), directeur délégué cybersécurité, dévoile comment le groupe conjugue expertise technique et diversité des talents pour relever les défis d’un secteur en constante évolution.
L’ADN de la RATP ? Opérer des solutions de mobilité sûres et connectées, au service d’une ville durable et intelligente. Métro automatique, bus autonome … Ces infrastructures, dépendantes des systèmes d’information (SI), sont par nature plus exposées aux risques de sécurité informatique et ont besoin d’être protégées. « Nous intervenons en soutien des métiers du groupe pour fournir un cadre technique et organisationnel dans lequel les opérateurs vont travailler et exploiter les SI. A la clé : assurer la disponibilité et l’intégrité des systèmes de transport » résume François Bidondo, directeur délégué cybersécurité chez RATP.
Un combat inégal
A l’échelle de l’entreprise, près d’une centaine de spécialistes allient compétences techniques (compréhension de la menace, des méthodes d’attaque) et métiers, pour cartographier les risques cyber et développer des contre-mesures adaptées. Des activités indissociables de l’accroissement du périmètre de la RATP, qui a récemment remporté la gestion du réseau de mobilités Twisto de Caen la mer et celle des métros, funiculaires et tramways de la métropole de Lyon. Des succès qui s’accompagnent toutefois de défis complexes. « Dans l’imaginaire collectif, la cybersécurité fait peur car elle est perçue comme un combat inégal. D’un côté, des cyberattaquants sans foi ni loi, bien équipés, qui bénéficient des dernières technologies et, de l’autre, des entreprises contraintes par des ressources limitées et des cadres réglementaires stricts » explique François Bidondo. Cependant, lors des Jeux olympiques et paralympiques de Paris 2024, la RATP a montré qu’en anticipant et en investissant intelligemment, il était possible de contrer efficacement les attaques, même si le risque zéro n’existe pas.
La richesse des profils pour une sécurité efficace
Autre défi majeur de l’entreprise : faire cohabiter des technologies qui évoluent toujours plus vite avec des systèmes d’information qui sont, par nature, obsolètes. « A l’échelle du groupe, les SI ont des durées de vie de plusieurs dizaines d’années. On ne change pas les composants d’un métro régulièrement, contrairement à une application qu’on peut mettre à jour facilement » souligne François Bidondo. Pour réussir ce challenge, la cybersécurité a besoin de talents variés. « On imagine souvent des hackers en sweat noir, mais la réalité est plus diverse. Nous avons besoin de spécialistes en sensibilisation, en gestion des risques, de juristes… » continue-t-il. Il se félicite également de la féminisation croissante de la profession, notamment dans son équipe en centrale, qui est à parité. Au-delà de la formation, l’important pour le directeur délégué sont les soft skills. La première qualité à avoir ? La curiosité. « La menace tech évolue au rythme de la société, on ne peut pas se reposer sur ses acquis, il faut rester en éveil » assure François Bidondo. L’importance du travail en équipe ensuite, car « la sécurité est une chaîne, et ne dit-on pas que le niveau de sécurité de la chaîne est celui du maillon le plus faible ? » abonde-t-il. Enfin, François Bidondo recherche également chez ses collaborateurs et futurs collaborateurs des qualités rédactionnelles, des profils capables « de combiner le socle technique et la pédagogie afin de pouvoir échanger avec tous les métiers de l’entreprise. »
#Efrei
L’Efrei offre une base technique forte et est inscrite dans le concret. Elle a noué des partenariats avec l’industrie qui donnent une vraie employabilité par la suite.
GameOver : votre combo secret pour faire craquer les hackers ?
Le terrain de jeu de la RATP est gigantesque ! Il s’étend des SI traditionnels des entreprises – comme le cloud, la data, l’IA – aux SI industriels de plusieurs générations. Si les carrières débutent en général à Paris, le groupe encourage la mobilité des collaborateurs dès qu’un appel d’offre est gagné pour être au plus proche des clients et des systèmes.
Contact : cybersecurite-groupe-ratp@ratp.fr
fourni par le Borlabs Cookie