Les spécialistes mettent en garde les acteurs de la filière aéronautique, transport aérien compris : une cyber attaque d’ampleur est inéluctable et le secteur n’est pas armé pour y faire face. Contrairement aux idées véhiculées, l’avion n’est pas le plus vulnérable. Il faut protéger les plus modestes des sous-traitants de chaque supply chain.
Echanger avec les spécialistes de la cyber sécurité donne froid dans le dos. Nous ne sommes pas désarmés face aux attaques, nous sommes nus, et toutes les armures que nous pourrions imaginer ne feraient que nous alourdir et contraindre nos mouvements, sans pour autant nous protéger. Les hackers ont cette capacité exceptionnelle à déceler la moindre faille, le plus petit passage pour se glisser dans un réseau et en prendre le contrôle.
Pascal Pincemin, responsable du secteur Aerospace & Defense chez Deloitte distingue trois types d’attaques. Le premier s’apparente à de l’intelligence économique et émane d’états. Le deuxième est le fait de délinquants digitaux qui cherchent à faire chanter leurs victimes. Le troisième relève de l’héroïsme individuel ; un individu isolé agit pour l’amour de l’art et recherche la reconnaissance dans le web. C’est là que se recrutent les hackers.
« Le degré de la menace ne peut aller que croissant du fait de la rupture digitale généralisée », affirme Pascal Pincemin. « Dans les entreprise, la maturité se développe. Avant, ce sujet était cantonné à des geeks, aujourd’hui, il se traite au niveau de la direction ; dans la cartographie des grands risques, il est désormais considéré comme un risque majeur ».
Parce que c’est beaucoup plus spectaculaire et surtout fortement médiatisé, le public associe cyber attaque et prise de contrôle d’un avion de ligne, en vol avec ses passagers. Pour le moment, les attaques dont a été victime le transport aérien ont eu lieu au sol. Il s’agit pour l’essentiel d’intrusions dans le système de gestion des comptes grands voyageurs (British Airways mars 2015, Air India juin 2016) ou du piratage de systèmes de réservations ou de comptes clients (United Airlines juin 2016, American Airlines et Sabre août 2015, Vietnam Airlines (juillet 2016). L’attaque la plus grave a été perpétrée contre la compagnie polonaise LOT (juin 2016) qui a du annuler 20 vols.
Cela ne signifie pas que l’avion n’est pas une cible. Au contraire. Du point de vue du système d’information, il est l’équivalent d’une PME, avec plus d’un millier de logiciels, des dizaines d’ordinateurs interconnectés, une soixantaine d’antennes, du Bluetooth, du WiFi, des prises USB… « Et pas d’administrateur sûreté à bord », souligne Xavier Depin, expert en sûreté avion d’Airbus.
« L’avion doit demeurer la dernière ligne de défense, et tout est fait pour le protéger », affirme l’expert. Les constructeurs aéronautiques partent du principe qu’un jour ou l’autre, l’attaquant pourra percer cette ligne. « Nous ne savons juste pas quand… Nous mettons donc en place des systèmes de détection associés à des investigations, des corrections… » L’attaquant aura toujours une longueur d’avance. Il faut détecter et pouvoir agir rapidement.
La culture de la cyber sécurité est inégalement répartie dans l’industrie aéronautique. Les plus en pointe sont les grands constructeurs aéronautiques. Ils font partie des rares maillons de la chaine à avoir conscience que l’avion n’est que le noeud d’un gros réseau qui réunit la fabrication, la maintenance, l’exploitation, les passagers, etc.
L’un des risques les plus redoutés est qu’un opérateur effectue des modifications de l’architecture (via une extension de certification STC) sans mettre l’avionneur dans la boucle. A ce niveau, la réglementation est muette et il lui faudra du temps pour donner de la voix sachant que la cellule cyber sécurité de l’EASA compte trois personnes seulement.
La culture ne se décrète pas. Elle s’acquiert. Il faut par exemple que les entreprises de maintenance aéronautique (MRO) s’assurent que les équipements de tests (ordinateur) qu’elles connectent à l’avion ne soient pas corrompus.
Une flotte entière peut être clouée au sol parce qu’un bug aura été introduit dans un composant, des années plus tôt, dans une petite entreprise vulnérable, à son insu. « Dans un système aussi complexe qu’est l’industrie de construction aéronautique, l’enjeu est pour les plus petits d’avoir les moyens de se protéger. », souligne Pascal Pincemin (Deloitte). Si les grandes entreprises recrutent des hackers pour connaître les risques nouveaux, ce n’est évidemment pas le cas des plus petites. « Faire des grappes de sous-traitants peut être une solution », affirme-t-il tout en rappelant que « la solidité d’une chaine est liée à son maillon le plus faible ».
De plus en plus d’acteurs spécialisés proposent de réaliser des audits des systèmes d’information, de réaliser des tests d’intrusion pour vérifier la robustesse du système ou encore d’opérer une veille. « L’importance est le temps de réaction », résume Pascal Pincemin.
L’adage selon lequel « ma défense est votre protection » sera une réalité que lorsque tout le monde sera dans la même dynamique, estiment les spécialistes de la cyber sécurité. Et à l’évidence, l’industrie aéronautique et le transport aérien n’y sont pas encore.
Gil Roy
La tour de contrôle centrale de l'aéroport de Paris-Charles de Gaulle est en travaux. Fin… Read More
Depuis plus de quatre décennies, le Pilatus PC-7 constitue la pièce maîtresse de la formation… Read More
On a rarement vu une compagnie aérienne aussi bien préparée à déposer le bilan que… Read More
Dans un roman, Jean Rousselot raconte à la première personne du singulier la carrière militaire… Read More
Textron Aviation a livré à l'armée de l'air péruvienne le premier de 2 Beechcraft King… Read More
Il était le candidat malheureux de Sikorsky et Boeing face au V-280 Valor de Bell… Read More
View Comments
Comment nous vendre de la peur, et surtout les services qui vont avec (quand les affaires vont mal et que l'on ne sait pas quoi vendre d'autre).
Donc ce que l'on nous explique, c'est qu'il y a des ingénieurs assez idiots pour connecter le système de divertissement (Wifi, USB, etc.) avec les systèmes de vol ? Avec tous les risques techniques (saturation, plantage) et évidents de sécurité que cela comporte ? C'est une blague j'espère.
Quant aux systèmes de réservation, oui le risque existe mais le fait est que les systèmes sont plutôt bien sécurisés, et que la plupart des failles sont... humaines et non techniques. Je sais que le sujet des hackers nord-coréens et russes (surtout nord-coréens, vue l'hyper-connectivité du pays) est à la mode, mais arrive un moment ou le bon sens est le bienvenu.