Intelligence artificielle et cybersécurité : un double défi pour les transports

Réunis lors d’une conférence organisée le 30 septembre par VRT sur l’intelligence artificielle appliquée aux transports et à la mobilité, acteurs publics et privés ont esquissé un panorama des usages émergents. De la cybersécurité à la relation client, en passant par l’impact environnemental, l’IA s’impose autant comme un levier stratégique que comme un défi collectif.

L’intelligence artificielle transforme depuis maintenant longtemps le transport de voyageurs : elle offre de nouvelles opportunités mais pose dans le même temps des défis inédits en matière de cybersécurité et de durabilité.

Elle pose aussi la question de la coopération entre les différents partenaires. La collaboration « inter-acteurs » est justement la finalité recherchée par Eona-X, une association fondée par plusieurs participants majeurs du transport et du tourisme – SNCF, Aéroports de Paris, Aéroport de Marseille, Renault, Amadeus et Accor.
Plutôt que de laisser la valeur des données captée par les grandes plateformes internationales, elle travaille à renforcer la confiance entre acteurs déjà partenaires.

« Nous cherchons à offrir une expérience de mobilité de bout en bout, en reliant les différents maillons du parcours du voyageur, depuis son domicile jusqu’à son hôtel, tout en développant des projets logistiques pour atteindre plus rapidement les objectifs de neutralité carbone », expose Mélanie Veissier, directrice des projets transport et logistique d’Eona-X.

Pour construire cet écosystème, Eona-X met en place un dataspace, un cadre structuré et sécurisé qui permet aux entreprises et acteurs publics d’échanger des données en confiance.
Aujourd’hui, près de 80 % des données sont détenues par des entreprises privées et sont inaccessibles aux autres acteurs, faute de cadres de partage ou d’interopérabilité.
« Le dataspace vise donc à “désiloter” ces données, afin de créer de la valeur tout en respectant les réglementations récentes, comme le Data Act européen », souligne Mélanie Veissier.

Lutter contre la fraude documentaire

Dans les transports franciliens, l’intelligence artificielle trouve une application très concrète dans la lutte contre la fraude documentaire.
Chaque année, des dizaines de milliers de faux justificatifs sont utilisés pour obtenir des passes Navigo à tarif réduit, voire gratuits.
L’enjeu est de taille : sur la seule tarification Solidarité Transport, entre 30 et 40 % des justificatifs présentés seraient des faux.

Une affaire impliquant des faussaires en 2022 a coûté près de 24 millions d’euros à Île-de-France Mobilités, indique Benjamin Maillard, directeur Systèmes d’Information et des projets billettiques de Comutitres, filiale d’IDFM assurant la gestion opérationnelle des titres de transport.

« Lors de l’enquête, plus de 80 000 faux documents ont été identifiés sur les ordinateurs saisis. Ces justificatifs falsifiés donnaient accès à la tarification Solidarité Transport, allant de la gratuité totale à 25 % de réduction. Ils étaient ensuite revendus sur internet à des usagers, parfois de bonne foi, qui croyaient s’adresser à un revendeur officiel. »

Il y a encore trois ans, il était très difficile de distinguer un vrai document d’un faux.
Dans le doute, Comutitres était obligé d’attribuer les droits. Désormais, l’IA permet de donner les preuves qu’un document est falsifié et de refuser la demande.
Les nouveaux outils permettent d’analyser en quelques millisecondes les incohérences d’un justificatif : différences de caractères, altérations des pixels, modifications manuelles…

Le service est aussi plus fluide pour l’usager, qui reçoit désormais une réponse quasi immédiate, là où il fallait auparavant 24 à 48 heures d’attente.
Pour gérer les 600 000 droits renouvelés chaque mois, IDFM utilise également les API mises à disposition par la direction interministérielle du numérique, permettant de vérifier l’éligibilité aux dispositifs sociaux (CMU, statut étudiant, etc.).
Mais leur couverture reste limitée : « Nous n’avons aujourd’hui qu’un taux de réponse de 30 %. Dans 70 % des cas, l’IA nous aide à détecter la fraude », précise Benjamin Maillard.

Contrer les cyberattaques

L’arrivée massive de l’IA dans les systèmes de transport accroît aussi le risque cyber.
Pour Jean Seng, directeur du projet transformation numérique à la Direction générale des infrastructures, des transports et des mobilités (DGITM), les jeux de données massifs et variés rendent les systèmes plus pertinents mais aussi plus exposés.
« L’IA gagne en efficacité quand elle est connectée à davantage d’APIs et d’ensembles de données, et cette pluralité de connexions augmente la surface d’attaque. »

En conséquence, la DGITM plaide pour une approche globale : renforcement des mesures de cybersécurité – hardening (renforcement) des API, segmentation des réseaux, surveillance en continu –, gouvernance des données et montée en compétences des équipes.
L’enjeu est d’autant plus stratégique que ces systèmes traitent à la fois des données personnelles et des données commerciales. Leur protection est donc indispensable pour préserver la confiance et la continuité des services de mobilité.

Au-delà des données personnelles, les risques de cybersécurité peuvent concerner des éléments d’exploitation, comme les systèmes de contrôle-commande des CBTC, complète Jean-Christophe Lebreton, CTO – directeur technique – de Siemens Mobility France.
Pour prévenir les attaques, il est essentiel de concevoir et de déployer des systèmes qui respectent les quatre objectifs majeurs de la loi de programmation militaire pour les organismes d’importance vitale :
garantir la capacité d’administration des systèmes, générer des journaux permettant la détection d’incidents, contrôler strictement les accès et privilèges des équipes de maintenance et d’exploitation, et pratiquer une défense en profondeur pour réduire la surface d’attaque.

« Dire qu’un système est invulnérable est mensonger. L’objectif est de réduire la surface d’attaque et d’augmenter le temps nécessaire à un attaquant, comme lorsqu’on met plusieurs antivols sur un vélo : cela décourage et retarde l’attaque. »

Détecter les vulnérabilités

L’IA est également utilisée pour détecter les incidents et le monitoring des vulnérabilités.
Les systèmes industriels génèrent aujourd’hui un volume considérable de données souvent trop massives pour être exploitées efficacement par l’homme.
L’IA permet d’ingérer ces flux, de créer des modèles de comportement normal et d’identifier rapidement des anomalies.
« L’IA est utilisée pour monitorer le trafic afin de générer des alertes destinées à des prestataires qualifiés, associées à des procédures de maintenance et de réduction du risque. »
À cette fin, Siemens a développé une solution de cybersécurité pour protéger les infrastructures ferroviaires critiques, appelée CoreShield, déjà déployée sur certaines lignes de métro à l’étranger.

Mélanie Veissier souligne pour sa part l’importance de la cybersécurité, notamment pour des acteurs critiques comme la SNCF ou Aéroports de Paris, récemment confrontés à des attaques.
La question se pose avec encore plus d’acuité dans le contexte des agents IA capables d’acheter des billets de train ou d’avion et de réserver des hôtels au nom des usagers.

Pour limiter les risques, il est essentiel de disposer de systèmes robustes et bien structurés, avec une parfaite maîtrise des portes d’entrée vers l’extérieur et de la circulation des flux de données.
Lors des Jeux Olympiques, par exemple, Eona-X a travaillé avec le ministère de l’Intérieur pour centraliser tous les flux de données : chaque information passait par un point unique, même si elle provenait de multiples opérateurs. Les portes étaient ouvertes uniquement dans un sens pour transmettre l’information, puis refermées à la fin des Jeux.
« Tous les flux de données passaient par une seule place, même s’ils provenaient de plusieurs opérateurs, afin d’assurer le suivi des journalistes et des athlètes depuis leur arrivée jusqu’à leur hébergement. Nous n’avons eu aucun incident », raconte-t-elle.

Pour déployer cette technologie au quotidien, Eona-X s’appuie sur Amadeus, opérateur technologique reconnu pour la sécurité de ses systèmes et la protection des données personnelles.
Des tests d’intrusion réguliers, menés par différents acteurs, notamment Air France, permettent de limiter le risque d’attaque.

Pour déjouer les attaques, il est également possible de se mettre dans la peau d’un fraudeur à la recherche d’un pass Navigo à bas prix.
C’est la démarche menée par le prestataire Cybermoustache pour le compte de Comutitres.
L’achat d’un pass Navigo à tarif réduit est simulé afin de retracer le parcours des fraudeurs et d’identifier leurs méthodes.
« L’objectif consiste à suivre le cheminement de ces demandes frauduleuses, quelles informations sont demandées, s’il faut fournir une carte d’identité, payer à l’avance ou se déplacer dans certaines zones physiques pour récupérer le pass », détaille Benjamin Maillard.

Jean Seng rappelle de son côté le rôle central des pouvoirs publics, en France comme en Europe, pour encadrer l’usage de l’intelligence artificielle et renforcer la cybersécurité.
Au niveau européen, le règlement sur l’IA – l’AI Act, adopté à l’été 2024 – constitue une étape majeure, en organisant une gouvernance à plusieurs niveaux avec des autorités désignées pour veiller à sa mise en œuvre, comme la CNIL, l’Arcom ou la DGCCRF.

Le secteur des transports figure bien dans le périmètre de l’AI Act : certaines infrastructures critiques, comme la route ou les installations à câble, y sont explicitement mentionnées.
En parallèle, la directive NIS2 (Network Information Security), adoptée en 2022, impose des obligations fortes aux entreprises.
Elle élargit la liste des secteurs concernés, exige une implication du top management et prévoit des sanctions financières lourdes en cas de manquement.
Les entreprises doivent notifier les incidents, produire des rapports et se soumettre à des audits de cybersécurité.

Au-delà de cette approche normative, Jean Seng insiste sur le rôle d’accompagnement de l’innovation.
L’Agence de l’innovation pour les transports pilote par exemple le programme Propulse, qui soutient chaque année des projets innovants, y compris dans le domaine de l’IA.

Miser sur la relation client

Pour Benjamin Maillard, l’intelligence artificielle ouvre des perspectives inédites dans la relation client, comme l’atteste une expérimentation menée avec un chatbot basé sur l’IA générative : le taux de satisfaction des usagers est passé, en quelques mois, de 35 % à 95 %.
Jusqu’alors, l’assistance en ligne reposait sur un arbre de décision rigide, incapable de répondre correctement aux demandes des clients.
Désormais, le système s’appuie sur l’ensemble des conditions générales et des processus métiers pour dialoguer en langage naturel.
Cette évolution a ainsi permis d’éviter 36 000 appels téléphoniques en 2024.

L’IA agit également en back-office.
Les conversations entre conseillers et clients sont retranscrites automatiquement, ce qui permet de contrôler le respect des standards de langage et de qualité, mais aussi de renforcer la supervision des centres d’appels parfois délocalisés.
De plus, l’analyse des transcriptions fait remonter immédiatement des signaux faibles comme « je n’ai pas réussi à souscrire » ou « le site est indisponible », permettant aux équipes techniques d’intervenir plus vite.

Les promesses de l’IA agentique

Si l’IA générative permet d’obtenir des résultats probants, elle peut vite atteindre certaines limites lorsque l’on tente de l’appliquer tout azimut.
« L’impact de l’IA d’assistance reste limité car les gains de 10 à 15 % initialement espérés ne sont pas forcément au rendez-vous », observe Jean-Christophe Lebreton.
Il constate que l’approche verticale, qui vise à intégrer l’IA directement dans les processus métiers via des agents plus autonomes, suscite de fortes attentes, avec « des gains de productivité attendus de 20 à 25 %, là où une approche horizontale plafonne ».

La nouvelle génération d’IA, dite agentique, s’attache à planifier, décider et agir de manière autonome, dans des limites fixées en amont par l’opérateur, l’entreprise ou l’usager.
Ici, la qualité des données et des règles de gouvernance compte davantage que leur quantité.
IDFM explore cette voie pour mieux répondre aux demandes clients.

« Il s’agit de faire dialoguer plusieurs agents intelligents aux compétences distinctes pour fournir la meilleure réponse à l’usager. Certains maîtrisent les bases clients et les données de paiement, d’autres les conditions générales de vente, d’autres encore les systèmes de la SNCF ou de la RATP. Un agent orchestrateur coordonne ces expertises pour produire une réponse ou déclencher une action (mail, courrier, suivi de demande) », explique Benjamin Maillard.

Deux axes structurent l’expérimentation :
– la préparation automatisée des dossiers clients ;
– le traitement automatique des questions simples et récurrentes.

L’IA agentique est également mise à profit avec le projet Gen4travel, porté par Eona-X, consistant à simplifier la vie des voyageurs en orchestrant les services de plusieurs opérateurs via des agents intelligents, notamment lors de perturbations.
« Le projet va au-delà du simple rebooking (nouvelle réservation). Grâce à un agent IA orchestrateur – un Small Action Model (SAM) entraîné sur des données de qualité via un dataspace commun – l’usager bénéficie d’un parcours sans couture », estime Mélanie Veissier.

L’agent dialogue avec ses homologues chez différents acteurs (compagnies aériennes, transporteurs, hôteliers) pour déclencher automatiquement les actions nécessaires, sans nouvelle application ni interface supplémentaire.
Ainsi, un client contactant Air France peut accéder en temps réel à la disponibilité des hôtels partenaires en cas de vol annulé.

Les développements s’appuient sur des partenariats français, un recours au cloud souverain, et surtout une mise à disposition en open source.
L’idée est de créer une véritable boîte à outils partagée, utilisable par les collectivités et les opérateurs pour inventer de nouveaux cas d’usage.
« L’approche agentique favorise la sobriété numérique : en évitant la duplication des données et en s’appuyant sur des échanges décentralisés, elle limite le recours à des infrastructures massives, un avantage si des LLM (Large Language Model) s’y intègrent à terme », soutient Mélanie Veissier.

Impact énergétique et sociétal

C’est un des autres grands enjeux liés à l’IA : son impact environnemental.
Jean Seng rappelle que l’IA ne peut être pensée sans lien avec la transition écologique : « En plus de la fameuse AI for Green – qui consiste à utiliser l’IA au service de l’écologie –, il faut aussi évoquer la Green AI, autrement dit la responsabilité environnementale de l’intelligence artificielle. »

D’après une étude conjointe de l’Ademe et de l’Arcep révisée en 2023, le numérique représente déjà 4,4 % des émissions nationales de gaz à effet de serre, contre environ 30 % pour les transports.
Concernant l’IA, les données manquent encore, mais selon certaines estimations, entraîner un modèle de type GPT-3 générerait près de 500 tonnes de CO₂ – sans inclure la consommation d’eau des data centers ni les besoins en métaux rares.

Jean-Christophe Lebreton reconnaît que l’impact énergétique de l’IA reste encore difficile à évaluer dans les usages métiers, notamment en ingénierie.
Cependant, plusieurs pistes sont envisagées : privilégier des modèles d’IA plus sobres, dits frugaux, développés notamment par des acteurs français, afin de réduire leur consommation.
Le Commissariat général au développement durable (CGDD) et son laboratoire d’innovation Ecolab ont publié en 2024 un référentiel qui en trace les contours.

Enfin, il s’agit de limiter l’utilisation de l’IA quand elle apporte une réelle valeur ajoutée, plutôt que de l’employer systématiquement.
Comme le souligne Jean Seng : « Avant de dégainer un LLM bazooka, il faut se demander : ce cas d’usage a-t-il vraiment besoin d’IA ? »

Dernier sujet sensible : l’emploi, avec la crainte que certaines fonctions techniques ou supports soient remplacées par des agents automatisés ou des chatbots.
Pour Jean-Christophe Lebreton, l’IA ne vise pas à supprimer les métiers, mais à les transformer.
Cette transformation nécessite un accompagnement par la formation et une stratégie claire de conduite du changement, prenant en compte à la fois les risques sociaux et les opportunités offertes par ces nouveaux outils.

Un dataspace pour l’échange de données sécurisées

Contrairement aux plateformes centralisées, la technologie du dataspace utilisée par Eona-X pour échanger des informations entre les grands acteurs du transport repose sur des « connecteurs décentralisés » : chaque acteur conserve ses données mais définit ses conditions d’accès, qu’elles soient ouvertes ou fermées, gratuites ou payantes, limitées à certains