Projets

Aéronautique : le cyberdiable est aussi dans la chaîne d'approvisionnement

(de G à D) Romain Bottan, Ciso de Boostaerospace ; Marion Buchet, directrice du Cert Aviation France ; Henri de Bordas, Ciso adjoint de Daher ; Eric Vautier, RSSI du groupe ADP, au Cybershow Paris (Photo : ED)

Dans un secteur aussi régulé et sensible à la sûreté et à la sécurité que l'aéronautique, la cybersécurité est un enjeu majeur. Mais aujourd'hui, les acteurs du secteur doivent aussi surveiller leur chaîne d'approvisionnement, véritable cheval de Troie pour les attaquants. ADP, Daher, Boostaerospace et le Cert Aviation ont partagé défis et pistes de solution à l'occasion du Cybershow, Paris, le 29 janvier 2025.

PublicitéEn matière de cybersécurité, la propension des défis à se multiplier est proche de l'infini. Ainsi, pour viser les grandes organisations de plus en plus protégées par des outils, des démarches de gouvernance et des exercices de préparation, les cyberattaquants s'en prennent aux maillons faibles de leur chaîne d'approvisionnement. À l'occasion du Cybershow Paris, le 29 janvier, la filière aéronautique représentée par ADP, Daher, Boostaerospace (société créée par les géants de l'aviation pour sécuriser les échanges au sein de la filière) et le Cert Aviation ont alerté sur ce type de dangers venus de l'amont, et donné des pistes pour les parer.

Dans un secteur sensible à la sûreté et à la sécurité comme l'aéronautique, les acteurs les plus importants sont en effet désormais le plus souvent sensibilisés et préparés. Mais il n'en va pas du tout de même de leur longue chaîne d'équipementiers, en particulier ceux des rangs 2 et 3, véritables talons d'Achille de la filière. « La sous-traitance est désormais considérée par les pirates comme un cheval de Troie vers les donneurs d'ordre, insiste Eric Vautier, Ciso du groupe ADP. Un simple phishing de la messagerie d'un sous-traitant peut constituer, pour un hacker, un moyen de cartographier la supply chain des donneurs d'ordre ! ». « Les attaquants ciblent la supply chain, car ils la pensent moins protégée, plus vulnérable, souvent à juste titre, ajoute de son côté Marion Buchet, directrice du Cert Aviation France, avant d'interpeller : n'oubliez pas que la supply chain est détentrice de vos secrets ! ».

Sensibiliser les industriels à la fragilité de leur chaîne d'approvisionnement

Romain Bottan, Ciso de Boostaerospace, insiste sur la nécessité absolue de sensibiliser les industriels de l'aéronautique, en tant que donneurs d'ordre, sur « les problèmes de cybersécurité avérés posés par nos sous-traitants ». Boostaerospace, entreprise commune à Airbus, Dassault Aviation, Safran, Thalès, créatrice d'une plateforme d'échanges sécurisés dans les industries aérospatiale et de défense, a lancé un programme de partage de connaissance et de bonnes pratiques sur ce sujet.

Le programme Aircyber liste ainsi les exigences en matière de cybersécurité des industriels de Boostaerospace à destination de la supply chain, ainsi que les moyens de s'y conformer. Avec trois niveaux de maturité (bronze, argent et or), l'objectif est d'élever la maturité cyber de ces derniers. Eric Vautier d'ADP estime même que, pour qu'aucun maillon ne manque dans la chaîne de cybersécurité aéronautique, les aéroports et compagnies aériennes devraient se joindre à la démarche.

Avionneur, mais aussi équipementier aéronautique civil et militaire de rang 1 et logisticien de pièces détachées, Daher a montré l'exemple de ce qu'un maillon de la chaîne pouvait entreprendre, en collaboration avec la filière. Henri de Bordas, Ciso adjoint de l'industriel, a ainsi détaillé le parcours cyber de cette ETI familiale française du secteur (avec un CA 2023 de 1,65 Md€ et un objectif 2027 de 2 Md€, Daher emploie 13 000 employés). « Nous sommes sous-traitant pour de grands donneurs d'ordre, a rappelé le Ciso. Et nos clients [Airbus, Boeing, Airbus Helicopters, Dassault Aviation, Caterpillar, etc.] ont besoin de savoir où nous nous situons en matière de cybersécurité », a rappelé le Ciso adjoint de Daher, qui participe depuis son arrivée il y a 3 ans, à la mise en place d'une stratégie cyber renforcée.

PublicitéL'équipementier Daher structure sa cyber pour ses clients

L'équipe cybersécurité de l'industriel a d'abord abandonné le remplissage chronophage des nombreux questionnaires sur le sujet envoyés par ses donneurs d'ordre, pour se plonger dans le guide d'hygiène informatique de l'Anssi. Un moyen plus rapide et moins coûteux d'anticiper les demandes des clients de façon cohérente, complète. Daher s'est aussi appuyé sur le programme et le référentiel de Boostaerospace. Une véritable colonne vertébrale tout au long du parcours de transformation cyber de Daher, selon le Ciso adjoint.

L'équipementier a ensuite mené à bien une analyse de risque et a évalué le coût d'un ransomware sur le groupe, selon deux approches principales. Première approche, le CA annuel rapporté à la journée est multiplié par le nombre de jours estimé d'indisponibilité. Seconde approche, l'entreprise réalise une estimation fine des coûts réels d'une attaque durant les 15 premiers jours, et calcule l'impact total en considérant que ceux-ci représentent pas plus de 10% de l'impact total. Le Ciso adjoint a rappelé que ce calcul tout comme l'analyse de risques étaient également des outils efficaces de sensibilisation de sa direction.

Henri de Bordas s'est réjoui à plusieurs titres de l'évolution de la stratégie cyber de Daher. À commencer par le triplement des effectifs de l'équipe cyber de l'équipementier. « C'est un travail important, a-t-il ajouté, mais qui porte ses fruits. Nous venons tout juste de recevoir un avis favorable pour l'obtention de la conformité ISO 27001 le 27 janvier ».

Compter aussi sur la communauté sectorielle

Boostaerospace et le Cert Aviation ont des rôles complémentaires auprès du secteur, comme le rappellent leurs pilotes respectifs, Romain Bottan et Marion Buchet. Le premier fournit un outil d'évaluation des risques liés à la supply chain et un guide de solutions et de prestataires, quand le second veille, alerte les entreprises en cas de risque important et les aide à se protéger, à faire face aux attaques et à devenir autonomes.

Marion Buchet conseille de lancer des actions aussi bien en matière de gouvernance que d'opérationnel, sur un sujet qui revêt, selon elle, aussi bien des aspects réglementaires (Nis2, Dora) et budgétaires, que de sensibilisation des dirigeants aux menaces et de gestion de ressources limitées. Mais elle explique aussi l'importance de s'appuyer sur sa communauté. La directrice du Cert Aviation explique ainsi pourquoi elle a prolongé un dispositif très particulier mis en place durant les JOP de Paris, en juillet et août . « Nous avons décidé d'organiser tous les matins à 8h45, un briefing en visioconférence avec nos membres », raconte-t-elle. Et c'est un événement IT, et non une attaque cyber, qui a très vite montré l'intérêt d'un tel rendez-vous. Le 19 juillet, la panne de l'éditeur Crowdstrike provoque la mise en arrêt de très nombreux SI dans le monde entier. La cellule se met alors en ordre de marche. Chacun partage les impacts qu'il subit, les informations glanées sur les causes de la panne, les conséquences et les éventuelles actions à mener. De quoi conduire le Cert à pérenniser ce briefing hebdomadaire même après la clôture des JOP de Paris.

Qu'il s'agisse de Boostaerospace ou du Cert Aviation, le Ciso adjoint de Daher confirme « d'une part, l'aspect rassurant de ce modèle de communauté, dans un milieu cyber très anxiogène, et d'autre part, l'importance de ces deux structures pour la communication sur la cybersécurité, et même la défense du sujet, « en tant que source de valeur ajoutée ».