Le secteur de l’aéronautique est imprégné d’une forte culture de la sécurité. La digitalisation accrue de ses opérations et de ses processus fait émerger de fortes préoccupations en matière de cybersécurité. En parallèle, la notion de cyber-résilience est de plus en plus évoquée pour désigner la capacité des organisations à s’adapter et à résister aux menaces cyber.
En quoi la notion de cyber-résilience est-elle particulièrement adaptée à la gestion des risques dans le secteur aéronautique ? Quelles sont les menaces spécifiques au secteur ? Comment protéger les systèmes critiques du secteur de l’aéronautique pour lui permettre d’atteindre une forme de résilience organisationnelle ? Décortiquons les liens évidents entre le secteur de l’aéronautique et la cyber-résilience.
Vulnérabilités et enjeux de cybersécurité spécifiques au secteur aéronautique
Digitalisation des opérations et des activités
Comme dans bon nombre d’industries, la plupart des activités du secteur aéronautique sont aujourd’hui fortement dépendantes des technologies numériques : planification des vols, contrôle du trafic aérien, dématérialisation des ventes de billets, relation clientèle avec les passagers, opérations de maintenance, processus d’embarquement, accès WiFi à bord des aéronefs, etc. Cette digitalisation accrue des activités rend le secteur de l’aéronautique particulièrement vulnérable.
Sécurisation de la supply chain de l’aéronautique
D’autre part, le secteur de l’aéronautique est constitué d’un grand nombre d’entités. Si les grands acteurs sont désormais conscients des risques cyber et généralement mieux protégés, ce n’est pas forcément le cas de l’ensemble de sous-traitants. Une cyber-attaque réussie à l’encontre d’un acteur du secteur peut affecter un grand nombre de personnes et d’entreprises, avec des conséquences financières certaines. Les différents acteurs de la chaîne de valeur de l’aéronautique doivent donc renforcer leur posture de cybersécurité pour protéger l’ensemble du secteur.
L’aéronautique, un secteur sensible et stratégique
Les questions de sécurité et de gestion des risques sont au cœur des problématiques du secteur de l’aéronautique étant donné son caractère sensible et stratégique. Protéger les systèmes critiques du secteur aéronautique est un impératif. Il est donc logique que les enjeux de cybersécurité et que la notion de résilience organisationnelle y tiennent une place grandissante.
Les conséquences potentielles des cyberattaques dans le secteur aéronautique
Perturbation des activités aériennes
L’une des conséquences les plus visibles d’une cyber-attaque dans le secteur de l’aéronautique est la perturbation des activités aériennes : retards ou annulations de vols, voire paralysie du trafic pour un temps donné. La sécurité des passagers est également en jeu.
Violations de données
Le secteur de l’aéronautique traite une importante quantité de données sensibles : informations personnelles relatives aux passagers, données concernant les vols, informations commerciales, financières et stratégiques relatives aux relations avec les sous-traitants, etc. Des violations de données peuvent occasionner des pertes financières, générer une perte de confiance de la part des clients, porter atteinte à la réputation d’une entreprise ou encore entraîner des amendes et des actions en justice.
Attaques ciblant la chaîne d’approvisionnement et les fournisseurs
La supply chain du secteur de l’aéronautique est particulièrement grande, avec des acteurs interconnectés : constructeurs d’avions commerciaux, fabricants de moteurs, transporteurs de fret aérien, compagnies aériennes, etc. Cette interdépendance entre les différents acteurs renforce la vulnérabilité du secteur de l’aéronautique. Porter atteinte à l’un des acteurs peut causer des dommages à d’autres entités de l’écosystème.
Pertes financières
Les pertes financières générées par des cyberattaques dans le secteur de l’aéronautique peuvent être importantes et de différentes natures : pertes de revenus liées à la perturbation des activités, prestations nécessaires pour gérer la réponse à incident, reconstruction des systèmes critiques affectés, amendes pour non-conformité aux exigences réglementaires, etc.
Exemples de cyberattaques dans le secteur aéronautique
Exemple n°1 : EasyJet, mai 2020
Lors de cette cyberattaque, les attaquants ont réussi à s’emparer des adresses email et informations de voyage d’environ 9 millions de clients. Plus de 2 000 passagers ont également vu leurs données de carte bancaire divulguées.
Exemple n°2 : attaque de Boeing par LockBit, octobre 2023
Le premier groupe mondial d'aéronautique Boeing a été touché par une attaque de type ransomware menée par le groupe LockBit. D’après Boeing, la cyber-attaque a touché l’activité de pièces détachées et de distribution de l’entreprise, sans affecter la sécurité des vols. De son côté, le groupe de cybercriminels a affirmé avoir mis la main sur de grandes quantités de données sensibles et menacé de les diffuser afin d’obtenir le paiement d’une rançon. Le groupe de cybercriminels a mis ses menaces à exécution en publiant des données volées.
Qu’est-ce que le concept de cyber-résilience ?
Cyber-résilience : définition
Le concept de cyber-résilience désigne la capacité d’une organisation à anticiper et à accepter la possibilité qu’une cyber-attaque survienne. Il s’agit d’une approche plus large et plus globale que la cybersécurité. La cyber-résilence invite les organisations à passer d’une approche passive à une approche proactive de la cybersécurité. C’est en devenant cyber-résilientes qu’elles pourront minimiser les dommages et maintenir leur productivité en cas de cyberattaque.
Les avantages de la cyber-résilience
Faisant partie des bonnes pratiques du guide d'hygiène informatique, la cyber-résilience améliore la posture de cybersécurité des entreprises et leur offre une meilleure résistance en cas de cyberattaque, avec à la clé :
• Une réduction des pertes financières,
• Une atténuation de la dégradation de l’image suite à une cyberattaque,
• Un avantage concurrentiel par rapport aux entreprises qui n’intègrent pas la notion de cyber-résilience.
Stratégies de mise en œuvre de la cyber-résilience au sein du secteur aéronautique
Posture de cyber-résilience commune aux différents acteurs
En raison de sa vulnérabilité et de la criticité de ses systèmes et opérations, le secteur de l’aéronautique dans son ensemble doit aujourd’hui se préparer à être attaqué, et surtout à poursuivre ses activités en toute sécurité en limitant au maximum l’impact d’une cyberattaque. Construire cette posture de cyber-résilience nécessite une collaboration renforcée entre les différents acteurs (partage d’informations sur les menaces, par exemple) afin de sécuriser l’ensemble de la chaîne de valeur de l’aéronautique et en faire un secteur résilient.
Différentes initiatives illustrent cette prise de conscience collective et cette nécessité de mieux comprendre et gérer les risques cyber au sein du secteur. La création de l’Aviation ISAC (Information Sharing and Analysis Centers) ou encore du Centre Européen pour la Cybersécurité dans l’Aviation (ECCSA) participent au développement de cette posture.
Gestion des risques, évaluation et surveillance continues
La première étape d’une démarche de cyber-résilience consiste à identifier et évaluer les risques spécifiques auxquels est exposé le secteur de l’aéronautique. Les différentes entités peuvent ainsi lister leurs vulnérabilités et affecter efficacement leurs ressources à la surveillance de leurs systèmes critiques, à la détection et à la réponse aux menaces. Des plans de réponse aux incidents, des exercices de simulation et des actions de formation des employés participent au développement de cette posture de cyber-résilience.
L’industrie aéronautique étant fortement interconnectée, cette démarche de gestion des risques doit être étendue à l’ensemble des acteurs de la chaîne d’approvisionnement.
Conformité réglementaire et normes de sécurité dans le secteur de l’aéronautique
Normes internationales
À l’échelle internationale, l’Organisation de l’aviation civile internationale (OACI) est désormais consciente de la nécessité d’adopter une posture de cyber-résilience. Elle a donc commencé à intégrer cette notion dans les normes du secteur, incitant ainsi États et agences de sécurité de l’avion à mettre en place des mesures visant à développer la cyber-résilience.
Normes européennes
À l’échelle de l’Union européenne, les réglementations relatives à la sécurité du secteur aéronautique sont pilotées par l’Agence européenne de la sécurité aérienne (AESA). Les exigences de sécurité de l’AESA sont contraignantes sur l’ensemble de l’espace européen.
Les évolutions réglementaires en cours (transposition des normes de l’OACI, par exemple) participent d’ailleurs au développement d’une posture de cyber-résilience au sein de l’ensemble du secteur aéronautique. Cela passe par une meilleure connaissance et prise en compte des risques, une identification des systèmes critiques pouvant être ciblés par des cyberattaques et par la prise en compte de la diversité d’entreprises de l’aéronautique afin de couvrir l’ensemble de la chaîne de valeur du secteur.
EUROCONTROL (organisation européenne pour la sécurité de la navigation aérienne) publie également chaque année une carte des incidents de cybersécurité du secteur aéronautique. Cette publication est produite par le centre de réponse aux attaques informatiques pour la gestion du trafic aérien en Europe (EATM-CERT, European Air Traffic Management Computer Emergency Response Team).
Le secteur de l’aéronautique est particulièrement exposé aux menaces cyber étant donné la digitalisation de plus en plus marquée de ses opérations le caractère critique de ses activités. La cyber-résilience apparaît comme une notion pertinente pour protéger les systèmes critiques et renforcer la résilience organisationnelle de l’ensemble du secteur.
Vous aimeriez savoir comment OverSOC peut vous aider à mieux maîtriser votre système d’information et à développer une posture de cyber-résilience ? Contactez-nous.
