5. Cybersécurité 
5.1. Les acteurs publics du domaine de la cybersécurité
5.1. Les acteurs publics du domaine de la cybersécurité
Décret n° 2025-1023 du 28 octobre 2025 relatif à la coordination, par la Régie autonome des transports parisiens, de la sécurité des systèmes d’information dans le cadre de l’exploitation des lignes, ouvrages et installations ainsi que des gares, y compris d’interconnexion, du réseau de transport public du Grand Paris et des réseaux mentionnés à l’article 20-2 de la loi du 3 juin 2010 relative au Grand Paris
| Date de signature : | 28/10/2025 | Statut du texte : | En vigueur |
| Date de publication : | 30/10/2025 | Emetteur : | Ministère des transports |
| Consolidée le : | Source : | JO du 30 octobre 2025 | |
| Date d'entrée en vigueur : | 31/10/2025 |
Décret n° 2025-1023 du 28 octobre 2025 relatif à la coordination, par la Régie autonome des transports parisiens, de la sécurité des systèmes d’information dans le cadre de l’exploitation des lignes, ouvrages et installations ainsi que des gares, y compris d’interconnexion, du réseau de transport public du Grand Paris et des réseaux mentionnés à l’article 20-2 de la loi du 3 juin 2010 relative au Grand Paris
NOR : TRAK2522029D
Publics concernés : Régie autonome des transports parisiens (RATP) pour son activité de gestionnaire technique de l’infrastructure du Grand Paris Express, la Société des grands projets, Ile-de-France Mobilités et les exploitants de services de transport désignés par Ile-de-France Mobilités en application du 2° du I de l’article L. 1241-2 du code des transports.
Objet : dans le cadre du réseau de métro du Grand Paris Express où il existe plusieurs exploitants distincts du gestionnaire d’infrastructure, désignation de la Régie autonome des transports parisiens comme coordonnateur de la sécurité des systèmes d’information des réseaux de transport public du Grand Paris et des réseaux mentionnés aux articles 20 et 20-2 de la loi du 3 juin 2010 relative au Grand Paris et définition de ses missions dans ce cadre.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Application : le présent décret est pris en application des articles 20 et 20-2 de la loi n°2010-597 du 3 juin 2010 relative au Grand Paris ainsi que de l’article L. 2142-3 du code des transports.
Le Premier ministre,
Sur le rapport du ministre des transports,
Décrète :
Art. 1er. – La Régie autonome des transports parisiens assure la coordination de la sécurité des systèmes d’information :
1° Des éléments des lignes, ouvrages et installations ainsi que des gares, y compris d’interconnexion, définis par l’arrêté du ministre chargé des transports pris en application de l’article 1er du décret du 8 février 2019 susvisé, dont elle assure la gestion technique ;
2° Des éléments des réseaux de transport mentionnés aux articles 20 et 20-2 de la loi du 3 juin 2010 susvisée qui sont confiés, après leur réception par la Société des grands projets, à Ile-de-France Mobilités ;
3° Des matériels roulants mentionnés au deuxième alinéa du I de l’article 20 de la loi du 3 juin 2010 susvisée qui sont transférés, après leur réception par la Société des grands projets, à Ile-de-France Mobilités.
Art. 2. – Au titre de la coordination de la sécurité des systèmes d’information définie à l’article 1er, et sans préjudice des responsabilités et obligations qui incombent aux personnes mentionnées à l’article 3, la Régie autonome des transports parisiens a pour missions :
1° En coordination avec la Société des grands projets et Ile-de-France Mobilités, d’élaborer la politique de sécurité de ces systèmes d’information, comportant en particulier des mesures relatives à leur surveillance, et d’organiser la mise en œuvre de cette politique ;
2° De proposer à Ile-de-France Mobilités les mesures et les procédures de coordination relatives à la détection et à la gestion des incidents et des crises, affectant ces systèmes d’information lors de la phase d’exploitation, applicables à compter de la date de mise en service du premier tronçon de chacune des lignes des réseaux de transport public mentionné aux articles 20 et 20-2 de la loi du 3 juin 2010 susvisée ;
3° De proposer à la Société des grands projets et à Ile-de-France Mobilités, chacun en ce qui le concerne, les mesures de sécurité applicables à ces systèmes d’information, pour leur phase d’exploitation ;
4° Le cas échéant, si elle constate que les mesures de sécurité qu’elle estime nécessaires ne sont pas compatibles avec la conception ou la réalisation de ces systèmes d’information, de présenter à la Société des grands projets une proposition motivée afin que cette conception ou cette réalisation fassent l’objet d’évolutions ;
5° De coordonner la supervision de ces systèmes d’information ainsi que l’analyse, par les personnes mentionnées à l’article 3, des menaces dont ces systèmes font l’objet et des vulnérabilités qu’ils présentent ;
6° De recueillir et diffuser en temps utile les messages d’alerte et les informations sur les menaces, les vulnérabilités et les incidents affectant ces systèmes d’information, auprès des personnes mentionnées à l’article 3 ;
7° De définir et coordonner la réponse aux incidents de sécurité affectant ces systèmes d’information ainsi que d’apporter aux personnes mentionnées à l’article 3, à leur demande, une assistance dans le cadre de cette réponse ;
8° De déclarer sans retard, au ministre chargé des transports ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information, les incidents de sécurité affectant significativement ces systèmes d’information ;
9° D’établir un rapport annuel sur les menaces, les vulnérabilités et les incidents affectant ces systèmes d’information et, après l’avoir présenté aux personnes mentionnées à l’article 3, de le communiquer au ministre chargé des transports ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information.
Art. 3. – La Société des grands projets, Ile-de-France Mobilités et les exploitants de services de transports désignés par Ile-de-France Mobilités en application du 2° du I de l’article L. 1241-2 du code des transports fournissent à la Régie autonome des transports parisiens, pour les besoins de la coordination de la sécurité des systèmes d’information que cette dernière assure en application de l’article 1er, les informations strictement nécessaires à l’exercice des missions mentionnées à l’article 2 et concourent, en tant que de besoin, à la réalisation de ces missions. La Régie autonome des transports parisiens ne peut utiliser ces informations que dans la mesure nécessaire à l’exécution de ces missions.
Art. 4. – Les dispositions du présent décret ne s’appliquent pas aux lignes, ouvrages et installations ni aux gares, à l’exception des gares d’interconnexion mentionnées au 1° de l’article 1er, relevant de l’article 20 de la loi du 3 juin 2010 susvisée lorsqu’ils constituent une extension d’une infrastructure du réseau métropolitain affecté au transport public de voyageurs en Ile-de-France.
Art. 5. – Le ministre des transports est chargé de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 28 octobre 2025.
Par le Premier ministre :
Sébastien Lecornu
Le ministre des transports,
Philippe Tabarot
Source Légifrance
NOR : TRAK2522029D
Publics concernés : Régie autonome des transports parisiens (RATP) pour son activité de gestionnaire technique de l’infrastructure du Grand Paris Express, la Société des grands projets, Ile-de-France Mobilités et les exploitants de services de transport désignés par Ile-de-France Mobilités en application du 2° du I de l’article L. 1241-2 du code des transports.
Objet : dans le cadre du réseau de métro du Grand Paris Express où il existe plusieurs exploitants distincts du gestionnaire d’infrastructure, désignation de la Régie autonome des transports parisiens comme coordonnateur de la sécurité des systèmes d’information des réseaux de transport public du Grand Paris et des réseaux mentionnés aux articles 20 et 20-2 de la loi du 3 juin 2010 relative au Grand Paris et définition de ses missions dans ce cadre.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Application : le présent décret est pris en application des articles 20 et 20-2 de la loi n°2010-597 du 3 juin 2010 relative au Grand Paris ainsi que de l’article L. 2142-3 du code des transports.
Le Premier ministre,
Sur le rapport du ministre des transports,
- Vu le code des transports, notamment ses articles L. 1241-2 et L. 2142-3 ;
- Vu la loi n°2010-597 du 3 juin 2010 relative au Grand Paris, notamment ses articles 20 et 20-2 ;
- Vu le décret n°2019-87 du 8 février 2019 relatif à la gestion technique des lignes, ouvrages et installations ainsi que des gares, y compris d’interconnexion, du réseau de transport public du Grand Paris et des réseaux mentionnés à l’article 20-2 de la loi du 3 juin 2010 relative au Grand Paris ;
Décrète :
Art. 1er. – La Régie autonome des transports parisiens assure la coordination de la sécurité des systèmes d’information :
1° Des éléments des lignes, ouvrages et installations ainsi que des gares, y compris d’interconnexion, définis par l’arrêté du ministre chargé des transports pris en application de l’article 1er du décret du 8 février 2019 susvisé, dont elle assure la gestion technique ;
2° Des éléments des réseaux de transport mentionnés aux articles 20 et 20-2 de la loi du 3 juin 2010 susvisée qui sont confiés, après leur réception par la Société des grands projets, à Ile-de-France Mobilités ;
3° Des matériels roulants mentionnés au deuxième alinéa du I de l’article 20 de la loi du 3 juin 2010 susvisée qui sont transférés, après leur réception par la Société des grands projets, à Ile-de-France Mobilités.
Art. 2. – Au titre de la coordination de la sécurité des systèmes d’information définie à l’article 1er, et sans préjudice des responsabilités et obligations qui incombent aux personnes mentionnées à l’article 3, la Régie autonome des transports parisiens a pour missions :
1° En coordination avec la Société des grands projets et Ile-de-France Mobilités, d’élaborer la politique de sécurité de ces systèmes d’information, comportant en particulier des mesures relatives à leur surveillance, et d’organiser la mise en œuvre de cette politique ;
2° De proposer à Ile-de-France Mobilités les mesures et les procédures de coordination relatives à la détection et à la gestion des incidents et des crises, affectant ces systèmes d’information lors de la phase d’exploitation, applicables à compter de la date de mise en service du premier tronçon de chacune des lignes des réseaux de transport public mentionné aux articles 20 et 20-2 de la loi du 3 juin 2010 susvisée ;
3° De proposer à la Société des grands projets et à Ile-de-France Mobilités, chacun en ce qui le concerne, les mesures de sécurité applicables à ces systèmes d’information, pour leur phase d’exploitation ;
4° Le cas échéant, si elle constate que les mesures de sécurité qu’elle estime nécessaires ne sont pas compatibles avec la conception ou la réalisation de ces systèmes d’information, de présenter à la Société des grands projets une proposition motivée afin que cette conception ou cette réalisation fassent l’objet d’évolutions ;
5° De coordonner la supervision de ces systèmes d’information ainsi que l’analyse, par les personnes mentionnées à l’article 3, des menaces dont ces systèmes font l’objet et des vulnérabilités qu’ils présentent ;
6° De recueillir et diffuser en temps utile les messages d’alerte et les informations sur les menaces, les vulnérabilités et les incidents affectant ces systèmes d’information, auprès des personnes mentionnées à l’article 3 ;
7° De définir et coordonner la réponse aux incidents de sécurité affectant ces systèmes d’information ainsi que d’apporter aux personnes mentionnées à l’article 3, à leur demande, une assistance dans le cadre de cette réponse ;
8° De déclarer sans retard, au ministre chargé des transports ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information, les incidents de sécurité affectant significativement ces systèmes d’information ;
9° D’établir un rapport annuel sur les menaces, les vulnérabilités et les incidents affectant ces systèmes d’information et, après l’avoir présenté aux personnes mentionnées à l’article 3, de le communiquer au ministre chargé des transports ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information.
Art. 3. – La Société des grands projets, Ile-de-France Mobilités et les exploitants de services de transports désignés par Ile-de-France Mobilités en application du 2° du I de l’article L. 1241-2 du code des transports fournissent à la Régie autonome des transports parisiens, pour les besoins de la coordination de la sécurité des systèmes d’information que cette dernière assure en application de l’article 1er, les informations strictement nécessaires à l’exercice des missions mentionnées à l’article 2 et concourent, en tant que de besoin, à la réalisation de ces missions. La Régie autonome des transports parisiens ne peut utiliser ces informations que dans la mesure nécessaire à l’exécution de ces missions.
Art. 4. – Les dispositions du présent décret ne s’appliquent pas aux lignes, ouvrages et installations ni aux gares, à l’exception des gares d’interconnexion mentionnées au 1° de l’article 1er, relevant de l’article 20 de la loi du 3 juin 2010 susvisée lorsqu’ils constituent une extension d’une infrastructure du réseau métropolitain affecté au transport public de voyageurs en Ile-de-France.
Art. 5. – Le ministre des transports est chargé de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 28 octobre 2025.
Par le Premier ministre :
Sébastien Lecornu
Le ministre des transports,
Philippe Tabarot
Source Légifrance