Le transport et la logistique dans le viseur des attaquants
Les entreprises de transport et de logistique occupent une position singulière dans l’économie : elles sont le lien physique entre les fournisseurs, les fabricants, les distributeurs et les clients finaux. Quand un transporteur routier, un transitaire ou un logisticien est paralysé, ce n’est pas une seule entreprise qui s’arrête — c’est toute une chaîne d’approvisionnement qui se grippe.
Les attaquants l’ont compris. Un ransomware qui chiffre le système de gestion de transport (TMS) d’un affréteur bloque simultanément des dizaines de chargeurs, des centaines de livraisons et des milliers de destinataires. La pression pour payer est immense, car chaque heure d’arrêt génère des pénalités contractuelles, des pertes de marchandises périssables et des dommages réputationnels en cascade.
Une surface d’attaque étendue
Le secteur du transport cumule plusieurs facteurs de vulnérabilité que les attaquants exploitent méthodiquement :
- Des systèmes informatiques hétérogènes : WMS (Warehouse Management System), TMS (Transport Management System), GPS et télématique embarquée, portails clients, EDI (échange de données informatisé)… L’empilement d’outils crée des failles à chaque point d’interconnexion.
- Une main-d’œuvre mobile : chauffeurs routiers, agents d’exploitation, magasiniers. Ces collaborateurs consultent leurs emails sur smartphone, souvent entre deux livraisons, sans le temps de vérifier l’authenticité d’un message.
- Une pression temporelle permanente : les délais de livraison sont contractuels, les pénalités de retard sont financières. Cette urgence pousse à cliquer avant de réfléchir — exactement ce que recherche un email de phishing.
- Des échanges documentaires intensifs : lettres de voiture, CMR, bons de livraison, documents douaniers, factures de fret. Chaque document échangé par email est un vecteur d’attaque potentiel.
Des échanges avec de multiples tiers
Un transitaire échange quotidiennement avec des compagnies maritimes, des agents en douane, des transporteurs routiers, des entrepositaires et des clients. Chacun de ces échanges repose sur la confiance dans l’identité de l’expéditeur. Un email d’usurpation d’identité bien construit, se faisant passer pour un agent en douane ou un client régulier, a de fortes chances de passer les filtres de vigilance d’un collaborateur pressé par les délais.
Ce que disent les chiffres
Notre analyse : 596 entreprises de transport passées au crible
Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 596 entreprises du secteur transport et logistique en France. Résultat : 23 % obtiennent un score de C ou pire. Ce chiffre est inférieur à d’autres secteurs comme la finance ou la santé, mais il signifie tout de même que près d’un quart des transporteurs, transitaires et logisticiens analysés présentent des failles dans leurs protections email. Un domaine mal configuré en DMARC permet à un attaquant d’envoyer des emails en se faisant passer pour votre entreprise auprès de vos clients et partenaires.
Nous avons également recensé 3 incidents de cyberattaques documentés dans notre base pour ce secteur. Trois cas rendus publics — la partie émergée d’un volume bien plus important, les PME de transport communiquant rarement sur les incidents qu’elles subissent.
NotPetya et Maersk : le cas fondateur
En juin 2017, le ransomware NotPetya a frappé le géant du transport maritime Maersk. En quelques heures, l’ensemble de l’infrastructure IT de l’entreprise a été détruite : 49 000 ordinateurs portables, 3 500 serveurs, 1 200 applications. Les terminaux portuaires dans 76 ports à travers le monde se sont arrêtés. Des navires chargés de conteneurs ne pouvaient plus accoster ni décharger. Maersk a estimé les pertes entre 250 et 300 millions de dollars. L’attaque n’avait même pas ciblé Maersk directement — l’entreprise a été touchée via un logiciel comptable ukrainien infecté.
CMA CGM : le transport maritime français touché
En septembre 2020, le groupe français CMA CGM, troisième armateur mondial, a été frappé par le ransomware Ragnar Locker. Les systèmes de réservation en ligne ont été coupés, forçant les clients à passer par téléphone et email pour réserver des conteneurs. L’attaque a perturbé les opérations pendant plusieurs semaines. CMA CGM emploie plus de 110 000 collaborateurs — la compromission initiale a vraisemblablement commencé par un email.
Le ransomware cible la logistique
Au-delà des géants maritimes, les attaques par ransomware visent les entreprises de logistique de toutes tailles. Le rapport 2024 de l’ANSSI confirme que le secteur du transport figure parmi les secteurs régulièrement touchés par les rançongiciels en France. L’ENISA a publié une analyse complète des menaces pesant sur le secteur du transport, identifiant le ransomware et le phishing comme les deux vecteurs d’attaque principaux.
Pour les PME du transport routier, le risque est concret : un ransomware qui chiffre le TMS empêche la planification des tournées, la gestion des bordereaux et la facturation. L’activité s’arrête, les chauffeurs attendent, les clients appellent. La rançon moyenne demandée aux PME se situe entre 100 000 et 500 000 euros, selon Cybermalveillance.gouv.fr.
Les attaques qui visent votre secteur
Chaque secteur a ses scénarios d’attaque caractéristiques. Voici ceux que les attaquants déploient contre les entreprises de transport et de logistique.
Fausses notifications douanières
L’attaquant envoie un email imitant la DGDDI (Direction Générale des Douanes et Droits Indirects) ou le portail Prodouane. Le message signale un « blocage douanier » sur une expédition en cours et demande de se connecter au portail pour régulariser la situation. Le lien mène vers une page de connexion contrefaite qui capture les identifiants. Ce scénario est redoutable pour les transitaires et les services d’import-export, habitués à recevoir des notifications douanières au quotidien et pour qui un blocage en douane signifie des surcoûts immédiats (surestaries, immobilisation de conteneurs).
Fausses demandes de documents d’expédition
Un email usurpe l’identité d’un client ou d’un agent maritime et demande l’envoi urgent d’un connaissement (Bill of Lading), d’une lettre de voiture CMR ou d’un bon de livraison. La pièce jointe contient un formulaire piégé ou un lien vers un faux portail de partage de documents. Le prétexte est crédible : « Merci de renvoyer le BL corrigé, le navire part demain ». La pression temporelle du secteur rend ce type d’ingénierie sociale particulièrement efficace.
Fausses alertes de gestion de flotte
Les entreprises de transport routier utilisent des systèmes de télématique et de géolocalisation pour suivre leurs véhicules. L’attaquant envoie un email imitant le fournisseur de la solution de fleet management : « Alerte critique : perte de signal GPS sur 3 véhicules — connectez-vous pour vérifier ». Le chauffeur ou l’exploitant, inquiet d’un problème sur sa flotte, clique et saisit ses identifiants sur une fausse page de connexion. C’est une forme classique de phishing qui exploite le réflexe d’urgence.
Ransomware ciblant les systèmes WMS et TMS
Le ransomware est la menace la plus destructrice pour le secteur. L’attaque commence presque toujours par un email de spear phishing : une fausse facture de fret, un faux avis de livraison, un faux document douanier. Le malware s’installe, se propage latéralement dans le réseau et chiffre les systèmes critiques. Un WMS chiffré signifie qu’aucune marchandise ne peut être réceptionnée, stockée ou expédiée. Un TMS chiffré signifie qu’aucune tournée ne peut être planifiée. L’arrêt est immédiat et total.
Fraude au paiement de fret (BEC)
La fraude au président (Business Email Compromise) prend une forme spécifique dans le transport : la fraude au paiement de fret. L’attaquant intercepte ou usurpe un échange email entre un chargeur et un transporteur, puis transmet de nouvelles coordonnées bancaires pour le règlement du fret. Les montants sont significatifs — une facture de transport international peut représenter des dizaines de milliers d’euros. L’attaquant peut aussi se faire passer pour un sous-traitant qui demande le paiement d’une course ou d’un affrètement spot. Dans un secteur où les relations avec les sous-traitants sont nombreuses et les paiements fréquents, cette arnaque passe facilement inaperçue.
Usurpation d’identité de clients urgents
Un email se fait passer pour un client régulier et demande une livraison urgente avec un nouveau point de livraison ou un changement d’adresse de dernière minute. Le message exploite le vishing (appel téléphonique de confirmation) ou le simple email pour modifier l’itinéraire. L’objectif peut être le détournement de marchandises, le vol de données ou l’installation d’un accès initial au système d’information.
NIS2 et vos obligations
La directive NIS2 a renforcé le cadre réglementaire de cybersécurité pour le secteur du transport depuis sa transposition en droit français.
Le transport : un secteur explicitement couvert par NIS2
NIS2 identifie le transport comme un secteur de haute criticité. Quatre sous-secteurs sont nommément couverts :
- Transport aérien : compagnies aériennes, gestionnaires d’aéroports, services de contrôle du trafic aérien
- Transport ferroviaire : entreprises ferroviaires, gestionnaires d’infrastructure
- Transport maritime et fluvial : compagnies de navigation, gestionnaires de ports
- Transport routier : autorités de gestion du trafic et opérateurs de systèmes de transport intelligents
Les entreprises de ces sous-secteurs sont classées comme entités essentielles ou entités importantes selon leur taille (effectif supérieur à 50 collaborateurs ou chiffre d’affaires supérieur à 10 millions d’euros). Même les entreprises en dessous de ces seuils peuvent être désignées si elles sont identifiées comme critiques par les autorités nationales.
Ce que NIS2 exige concrètement
Pour les entreprises de transport concernées, NIS2 impose :
- Des mesures de gestion des risques cyber proportionnées, incluant la sécurisation des chaînes d’approvisionnement numériques
- La sensibilisation et la formation du personnel aux cybermenaces — les simulations de phishing répondent directement à cette exigence
- La notification des incidents significatifs à l’ANSSI dans un délai de 24 heures pour l’alerte initiale, puis 72 heures pour le rapport détaillé
- La responsabilité de la direction : les dirigeants doivent superviser les mesures de cybersécurité et peuvent être tenus personnellement responsables en cas de manquement
Les sanctions prévues
Les sanctions en cas de non-conformité sont significatives. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4 % du chiffre d’affaires. Au-delà des amendes, NIS2 prévoit la possibilité de suspendre temporairement les dirigeants de leurs fonctions.
Pour un transporteur routier de 80 collaborateurs avec un chiffre d’affaires de 15 millions d’euros, la non-conformité représente un risque financier concret. La mise en place d’un programme de sensibilisation est un investissement modeste au regard de ces sanctions potentielles.
Pour un panorama complet de vos obligations de conformité et de la manière dont nos rapports y répondent, consultez notre page Conformité.
Des scénarios de simulation adaptés au transport
Les simulations de phishing génériques ne reflètent pas la réalité du quotidien de vos collaborateurs. Les attaquants utilisent des prétextes métier spécifiques au transport. Vos simulations doivent reproduire ces mêmes scénarios pour entraîner efficacement vos équipes.
Fausse notification de suivi de colis ou de tracking
Un email imite une plateforme de suivi (type portail transporteur ou plateforme client) et signale un problème de livraison : « Colis en attente — adresse incomplète, veuillez confirmer ». Le lien mène vers un faux formulaire qui demande des identifiants ou installe un malware. Ce scénario teste la capacité des agents d’exploitation et des chauffeurs à vérifier l’URL avant de cliquer.
Faux email de douane ou de DGDDI
Un email prétendument envoyé par les services douaniers alerte sur un blocage de marchandises. Le destinataire doit « se connecter au portail Prodouane pour télécharger le document de mainlevée ». Le faux portail est une copie conforme. Ce scénario est calibré pour les transitaires, déclarants en douane et services import-export qui traitent des dizaines de déclarations par jour.
Fausse alerte véhicule ou flotte
Un email imite le fournisseur de télématique ou de gestion de flotte et signale un incident sur un véhicule : « Alerte moteur — véhicule immatriculé XX-000-XX, consultez le diagnostic ». Le chauffeur ou l’exploitant reçoit le message sur son smartphone. Ce scénario mesure le réflexe de vigilance du personnel mobile, celui qui consulte ses emails entre deux livraisons et qui n’a pas le temps de vérifier chaque expéditeur.
Fausse demande urgente d’un client
Un email usurpe l’identité d’un client régulier et demande un changement de livraison de dernière minute ou l’envoi immédiat d’un document (CMR, bon de livraison, facture pro forma). Le ton est pressant : « Le conteneur part ce soir, merci de confirmer avant 14h ». Ce scénario exploite la pression temporelle qui caractérise le secteur et teste la capacité des collaborateurs à vérifier l’identité du demandeur même dans l’urgence.
Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes directement sur le terminal de l’utilisateur (ordinateur ou smartphone). Pas de session de deux heures en salle, pas de quiz déconnecté du contexte : un retour immédiat et ciblé sur les signaux d’alerte que le collaborateur a manqués.
Protéger votre entreprise de transport
La protection contre le phishing dans une entreprise de transport suit quatre étapes progressives, adaptées aux contraintes du secteur.
Étape 1 : Auditer votre sécurité email
Avant de sensibiliser vos collaborateurs, vérifiez que votre domaine email n’est pas vulnérable à l’usurpation. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet à n’importe qui d’envoyer des emails en se faisant passer pour votre entreprise. Nos données montrent que 23 % des entreprises de transport analysées ont des configurations insuffisantes. Un email frauduleux envoyé « depuis » votre domaine à l’un de vos clients ou partenaires peut détruire une relation commerciale.
Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.
Étape 2 : Lancer une simulation de référence
La première campagne de simulation établit votre taux de clic de référence (baseline). Nous utilisons des scénarios calibrés pour le secteur du transport : faux emails de douane, fausses alertes de flotte, fausses demandes de documents d’expédition. Les résultats mesurent la vulnérabilité réelle de vos équipes — des chauffeurs aux agents d’exploitation, des déclarants en douane aux services administratifs.
Étape 3 : Former par micro-learning contextuel
Chaque collaborateur qui échoue à une simulation reçoit immédiatement une micro-formation de 3 à 5 minutes. Le format est conçu pour le personnel mobile : accessible sur smartphone, court et directement lié au scénario en question. Un chauffeur qui a cliqué sur une fausse alerte véhicule apprend à vérifier l’expéditeur et l’URL. Un déclarant en douane qui a saisi ses identifiants sur un faux portail Prodouane apprend à repérer les signaux de typosquatting dans les noms de domaine. Les dirigeants reçoivent des scénarios adaptés aux attaques de type whaling et fraude au président.
Étape 4 : Générer les rapports de conformité NIS2
Chaque campagne produit les métriques attendues pour répondre aux exigences de NIS2 : taux de participation, taux de signalement, évolution du taux de clic, couverture des équipes formées. Ces rapports documentent votre programme de sensibilisation de manière structurée et exportable — un atout lors des contrôles de l’ANSSI ou en cas d’incident nécessitant de démontrer les mesures prises.
Votre domaine email est-il protégé contre l’usurpation d’identité ? 23 % des entreprises de transport que nous avons analysées présentent des failles. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.
Questions fréquentes
Pourquoi les entreprises de transport sont-elles ciblées par les cyberattaques ?
Les entreprises de transport et de logistique sont des nœuds critiques de la supply chain. Leur paralysie a un effet de cascade immédiat sur les clients, les fournisseurs et les destinataires. Les attaquants savent que la pression temporelle est forte (délais de livraison, pénalités contractuelles) et que les victimes sont plus susceptibles de payer une rançon rapidement pour reprendre leur activité.
Quels types de phishing ciblent le secteur du transport ?
Les attaques les plus fréquentes sont les faux emails de notification douanière (DGDDI, portail Prodouane), les fausses demandes de documents d'expédition (BL, CMR, lettre de voiture), les alertes frauduleuses de gestion de flotte ou de géolocalisation, et les fraudes au paiement de fret par compromission de messagerie (BEC). Les ransomwares ciblent les systèmes TMS et WMS pour maximiser la pression.
Le transport est-il concerné par la directive NIS2 ?
Oui. La directive NIS2 classe les transports (routier, ferroviaire, aérien, maritime et fluvial) parmi les secteurs couverts. Les entreprises de transport d'une certaine taille sont classées comme entités essentielles ou importantes selon leur chiffre d'affaires et leur effectif. Elles doivent mettre en place des mesures de gestion des risques cyber, incluant la sensibilisation du personnel.
Quel est le coût d'une cyberattaque pour une entreprise de transport ?
Le coût varie selon la taille de l'entreprise, mais les conséquences sont amplifiées par l'effet cascade. NotPetya a coûté à Maersk entre 250 et 300 millions de dollars. Pour une PME de transport routier, un ransomware entraîne en moyenne plusieurs semaines d'activité dégradée, des pénalités contractuelles, et des coûts de remédiation qui dépassent souvent 100 000 euros.
Comment sensibiliser des chauffeurs et des collaborateurs mobiles au phishing ?
Les collaborateurs mobiles (chauffeurs, agents d'exploitation sur site) consultent leurs emails sur smartphone, souvent dans l'urgence. Les micro-formations de 3 à 5 minutes accessibles sur mobile, déclenchées après chaque simulation ratée, sont le format le plus adapté. Les scénarios doivent reproduire les messages qu'ils reçoivent au quotidien : notifications de tracking, alertes véhicule, emails de clients.
Comment tester la sécurité email de mon entreprise de transport ?
Vous pouvez tester gratuitement la configuration de sécurité de votre domaine email (SPF, DKIM, DMARC) sur notre outil en ligne. Le diagnostic prend 30 secondes et identifie les failles qui permettent aux attaquants d'usurper votre identité par email. 23 % des entreprises de transport analysées obtiennent un score faible.