Publicité
Industrie

Cyber attaque : y-a-t-il un administrateur sûreté à bord ?

Published by
Gil Roy

Les spécialistes mettent en garde les acteurs de la filière aéronautique, transport aérien compris : une cyber attaque d’ampleur est inéluctable et le secteur n’est pas armé pour y faire face. Contrairement aux idées véhiculées, l’avion n’est pas le plus vulnérable. Il faut protéger les plus modestes des sous-traitants de chaque supply chain.

Echanger avec les spécialistes de la cyber sécurité donne froid dans le dos. Nous ne sommes pas désarmés face aux attaques, nous sommes nus, et toutes les armures que nous pourrions imaginer ne feraient que nous alourdir et contraindre nos mouvements, sans pour autant nous protéger. Les hackers ont cette capacité exceptionnelle à déceler la moindre faille, le plus petit passage pour se glisser dans un réseau et en prendre le contrôle.

Trois types de cyber agresseurs

Pascal Pincemin, responsable du secteur Aerospace & Defense chez Deloitte distingue trois types d’attaques. Le premier s’apparente à de l’intelligence économique et émane d’états. Le deuxième est le fait de délinquants digitaux qui cherchent à faire chanter leurs victimes. Le troisième relève de l’héroïsme individuel ; un individu isolé agit pour l’amour de l’art et recherche la reconnaissance dans le web. C’est là que se recrutent les hackers.

« Le degré de la menace ne peut aller que croissant du fait de la rupture digitale généralisée », affirme Pascal Pincemin. « Dans les entreprise, la maturité se développe. Avant, ce sujet était cantonné à des geeks, aujourd’hui, il se traite au niveau de la direction ; dans la cartographie des grands risques, il est désormais considéré comme un risque majeur ».

Le transport aérien attaqué au sol

Parce que c’est beaucoup plus spectaculaire et surtout fortement médiatisé, le public associe cyber attaque et prise de contrôle d’un avion de ligne, en vol avec ses passagers. Pour le moment, les attaques dont a été victime le transport aérien ont eu lieu au sol. Il s’agit pour l’essentiel d’intrusions dans le système de gestion des comptes grands voyageurs (British Airways mars 2015, Air India juin 2016) ou du piratage de systèmes de réservations ou de comptes clients (United Airlines juin 2016, American Airlines et Sabre août 2015, Vietnam Airlines (juillet 2016). L’attaque la plus grave a été perpétrée contre la compagnie polonaise LOT (juin 2016) qui a du annuler 20 vols.

L’avion, dernière ligne de défense

Cela ne signifie pas que l’avion n’est pas une cible. Au contraire. Du point de vue du système d’information, il est l’équivalent d’une PME, avec plus d’un millier de logiciels, des dizaines d’ordinateurs interconnectés, une soixantaine d’antennes, du Bluetooth, du WiFi, des prises USB… « Et pas d’administrateur sûreté à bord », souligne Xavier Depin, expert en sûreté avion d’Airbus.

« L’avion doit demeurer la dernière ligne de défense, et tout est fait pour le protéger », affirme l’expert. Les constructeurs aéronautiques partent du principe qu’un jour ou l’autre, l’attaquant pourra percer cette ligne. « Nous ne savons juste pas quand… Nous mettons donc en place des systèmes de détection associés à des investigations, des corrections… » L’attaquant aura toujours une longueur d’avance. Il faut détecter et pouvoir agir rapidement.

Les avionneurs aux avant-postes

La culture de la cyber sécurité est inégalement répartie dans l’industrie aéronautique. Les plus en pointe sont les grands constructeurs aéronautiques. Ils font partie des rares maillons de la chaine à avoir conscience que l’avion n’est que le noeud d’un gros réseau qui réunit la fabrication, la maintenance, l’exploitation, les passagers, etc.

L’un des risques les plus redoutés est qu’un opérateur effectue des modifications de l’architecture (via une extension de certification STC) sans mettre l’avionneur dans la boucle. A ce niveau, la réglementation est muette et il lui faudra du temps pour donner de la voix sachant que la cellule cyber sécurité de l’EASA compte trois personnes seulement.

Identifier le maillon faible

La culture ne se décrète pas. Elle s’acquiert. Il faut par exemple que les entreprises de maintenance aéronautique (MRO) s’assurent que les équipements de tests (ordinateur) qu’elles connectent à l’avion ne soient pas corrompus.

Une flotte entière peut être clouée au sol parce qu’un bug aura été introduit dans un composant, des années plus tôt, dans une petite entreprise vulnérable, à son insu. « Dans un système aussi complexe qu’est l’industrie de construction aéronautique, l’enjeu est pour les plus petits d’avoir les moyens de se protéger. », souligne Pascal Pincemin (Deloitte). Si les grandes entreprises recrutent des hackers pour connaître les risques nouveaux, ce n’est évidemment pas le cas des plus petites. « Faire des grappes de sous-traitants peut être une solution », affirme-t-il tout en rappelant que « la solidité d’une chaine est liée à son maillon le plus faible ».

De plus en plus d’acteurs spécialisés proposent de réaliser des audits des systèmes d’information, de réaliser des tests d’intrusion pour vérifier la robustesse du système ou encore d’opérer une veille. « L’importance est le temps de réaction », résume Pascal Pincemin.

L’adage selon lequel « ma défense est votre protection » sera une réalité que lorsque tout le monde sera dans la même dynamique, estiment les spécialistes de la cyber sécurité. Et à l’évidence, l’industrie aéronautique et le transport aérien n’y sont pas encore.

Gil Roy

Publicité
Gil Roy

Gil Roy a fondé Aerobuzz.fr en 2009. Journaliste professionnel depuis 1981, son expertise dans les domaines de l’aviation générale, du transport aérien et des problématiques du développement durable est reconnue. Il est le rédacteur en chef d’Aerobuzz et l’auteur de 7 livres. Gil Roy a reçu le Prix littéraire de l'Aéro-Club de France. Il est titulaire de la Médaille de l'Aéronautique.

View Comments

  • Comment nous vendre de la peur, et surtout les services qui vont avec (quand les affaires vont mal et que l'on ne sait pas quoi vendre d'autre).

    Donc ce que l'on nous explique, c'est qu'il y a des ingénieurs assez idiots pour connecter le système de divertissement (Wifi, USB, etc.) avec les systèmes de vol ? Avec tous les risques techniques (saturation, plantage) et évidents de sécurité que cela comporte ? C'est une blague j'espère.

    Quant aux systèmes de réservation, oui le risque existe mais le fait est que les systèmes sont plutôt bien sécurisés, et que la plupart des failles sont... humaines et non techniques. Je sais que le sujet des hackers nord-coréens et russes (surtout nord-coréens, vue l'hyper-connectivité du pays) est à la mode, mais arrive un moment ou le bon sens est le bienvenu.

Recent Posts

Le radar de la tour de contrôle de CDG héliporté

La tour de contrôle centrale de l'aéroport de Paris-Charles de Gaulle est en travaux. Fin… Read More

21 novembre 2024

Service prolongé jusqu’en 2040 pour les PC-7 suisses

Depuis plus de quatre décennies, le Pilatus PC-7 constitue la pièce maîtresse de la formation… Read More

21 novembre 2024

Spirit Airlines se place sous la protection du chapitre 11

On a rarement vu une compagnie aérienne aussi bien préparée à déposer le bilan que… Read More

21 novembre 2024

Biblio – Cavalier du ciel

Dans un roman, Jean Rousselot raconte à la première personne du singulier la carrière militaire… Read More

20 novembre 2024

Le Pérou reçoit un Beechcraft King Air 360CHW équipé evasan

Textron Aviation a livré à l'armée de l'air péruvienne le premier de 2 Beechcraft King… Read More

20 novembre 2024

Le SB-1 Defiant entre au musée

Il était le candidat malheureux de Sikorsky et Boeing face au V-280 Valor de Bell… Read More

20 novembre 2024
Publicité