Le secteur de l’aviation, composé d’une multitude d’intervenants (compagnies aériennes, aéroports, gestionnaires du trafic aérien, …), subit une transformation numérique majeure et évolue vers une dépendance toujours accrue à la connectivité. Quels sont les enjeux en termes de cybersécurité ?
C’est le sujet que nous avons choisi d’aborder avec Waël Kanoun, Directeur des solutions de cyberdéfense chez Thales Middle East et responsable international de la branche Cybersécurité pour l’aérospatiale chez Thales.
Constate-ton une évolution du nombre et du type de cyberattaques ces dernières années ?
La réponse est définitivement oui ! Et cela concerne à la fois les compagnies aériennes, les aéroports et les gestionnaires du transport aérien. Ce que nous constatons, c’est que le volume des attaques a connu une forte croissance surtout après covid (une croissance à 2 chiffres). En 2020, par exemple, les compagnies aériennes ont été les principales cibles ; à elles seules elles ont représenté plus de 60 % de toutes les cyberattaques liées à l’aviation !
Si l’on étudie la répartition géographique de ces cyberattaques post covid, nous constatons que l’Europe a fait l’objet de 36% des attaques, l’Asie Pacifique 20%, l’Amérique du Nord 20% et le Moyen-Orient et l’Afrique 15%.
Même si l’on connaît une croissance absolue du volume d’attaques, force est de constater que la majorité de ces attaques est le fruit soit d’une erreur humaine soit de vulnérabilités techniques ou organisationnelles. C’est une bonne nouvelle en soi car cela signifie que ce type d’attaque peut être prise en charge et solutionnée. Un exemple classique est l’attaque, à large échelle, d’une compagnie aérienne par le biais de ses employés et qui vise à susciter l’erreur humaine (ex : campagnes d’hameçonnage) mais aussi les actions plus ciblées qui visent directement les membres de la Direction.
En ce qui concerne le type d’attaques, nous constatons que celles-ci deviennent de plus en plus sophistiquées ou « multi-step » ce qui signifie que l’attaque ne se résume pas à un point d’entrée, il y a d’autres actions-étapes qui suivent. Les attaquants ciblent les systèmes aéroportuaires et créent des portes dérobées qui leur permettent d’accéder à ces systèmes pendant une longue période sans être détectés. Ces attaques « dormantes » peuvent perdurer sans être détectées et permettre aux attaquants d’exfiltrer un grand volume de données sur une longue période, voire de perturber le fonctionnement de systèmes clés (bagages, annonces, vidéosurveillance, etc.) En d’autres termes, il peut s’écouler des jours, des semaines voire des mois entre la première attaque et sa propagation à d’autres systèmes adjacents, tout en conservant une porte dérobée.
Ces cyberattaques ont un impact majeur ! En guise d’exemple, nous pourrions citer l’attaque informatique sévère de l’aéroport de Beyrouth en janvier ’24 : les écrans d’information à destination des voyageurs ont été piratés pour diffuser des messages politiques qui sont restés affichés durant plusieurs jours.
Face aux besoins toujours croissants de connectivité et de communication et à l’essor du transport aérien, comment anticiper l’évolution des risques cyber ?
On procède en combinant une approche pro-active et réactive. A la base de l’approche pro-active figure la cyber sécurité « by design » qui désigne la conception d’un système ou d’un produit en gardant la sécurité à l’esprit dès le départ de la conception que ce soit au niveau réseau, applicatif, … La partie réactive couvre la « maintenance » du dispositif sécurité car les menaces quotidiennes ne cessent d’évoluer ; les dispositifs mis en place doivent continuellement faire l’objet de mises à jour.
Aujourd’hui, l’approche cyber porte sur tout l’écosystème : le voyageur à son domicile (informations sur smartphone), l’aéroport (côté ville et côté piste), les avions (au sol et en vol) et la gestion du transport aérien. Nous couvrons l’intégralité de la chaîne car bien entendu un souci de piratage de bagage peut par exemple avoir un impact sur la gestion du trafic aérien.
La société Thales, de par son expertise en cybersécurité, est-elle amenée à sensibiliser et à former les professionnels de l’aviation (compagnies aériennes, aéroports) à la culture cybersécurité ?
Tout à fait, nous réalisons des formations en cybersécurité mais ce ne sont pas à proprement parler des formations généralistes. Nous allions nos expertises à la fois dans l’aero et dans la cybersécurité pour proposer des formations plus ciblées et plus pointues en mettant toujours l’accent sur la pratique. Nous recourons, par exemple, à des simulateurs en UK (NDEC in Wales), France, Belgique, et Moyen-Orient (CyberNode aux EAUs). Ces simulateurs, également appelés ‘CyberRange’ sont des solutions de simulations avancées permettant de réaliser des scénarios de cyber attaques. Ces simulateurs permettent de reproduire parfaitement des systèmes, y compris les systèmes aéroportuaires/aviation, et offrent un environnement sûr pour effectuer des tests, simuler des attaques les plus proches possible des conditions réelles.
Vu la nature de l’activité du transport aérien, serait-il envisageable d’élaborer une vision commune et définir une stratégie (européenne ou mondiale) harmonisée de la cybersécurité ?
Cette tendance se met progressivement en place et c’est une bonne chose ! On le constate aussi dans le transport ferroviaire. Pour que cette stratégie globale puisse voir le jour, trois intervenants doivent être mobilisés, ce qui rend l’exercice un peu complexe mais réalisable malgré tout. D’abord, les instances internationales (IATA, EASA, FAA, …), les groupes de travail d’experts spécialisés dans la cybersécurité du secteur Aero (Aviation ISAC, EATM-CERT et ECCSA) et les instances nationales qui se penchent sur la cybersécurité des instances et environnements critiques (ANSSI en France, NCSC en UK, NCA aux US).
L’hétérogénéité des flottes (modèles d’avions) constitue-t-elle une difficulté supplémentaire lors de l’identification et du traitement des failles potentielles de chaque système, interface et connexion ?
La réponse est oui et c’est effectivement un gros challenge ! Heureusement que nous disposons de l’expertise combinée cyber et aviation (sourire). Les appareils varient bien entendu d’un constructeur à l’autre, on le sait. Les équipements livrés peuvent aussi varier pour un même modèle d’avion (exemple : un Airbus livré à Air France ou à Emirates). Par ailleurs, on trouve dans un avion des dizaines de milliers de parts fabriquées par des milliers de fournisseurs.
En guise de conclusion, je dirais qu’à ce jour certains stakeholders sont moins sensibilisés que d’autres à la cyber sécurité. Cela peut être lié à un manque de maturité, un manque d’exposition ou le fait qu’ils ont eu la chance de ne jamais avoir connu d’incident. Heureusement, ce type de scénario tend à disparaître progressivement. A partir du moment où le risque fera l’objet de régulation, les sociétés n’auront plus le choix, elles devront prendre le problème à bras le corps et s’aligner.