IT : DSI/CIO - RSSI/CISO - CDO

Sécurité numérique et aéronautique

Cybersécurité dans l’aérien : pirater un avion, c’est possible ? En 2015, selon une note du FBI,  le chercheur en sécurité Chris Roberts avait réussi à pirater les systèmes informatiques d’avions de ligne. Le 1er juillet dernier, l’aéroport de Montpellier a été paralysé plusieurs heures par une cyberattaque.

Si les constructeurs et aéroports ont leurs propres équipes de hackers qui testent leurs défenses, comment s’assurer véritablement que matériels et systèmes d’information des avions sont étanches face aux attaques extérieures ?

 » Comment garantir cette fiabilité qui nécessite une réflexion double : individuelle au niveau de chaque opérateur – constructeur, compagnie aérienne, aéroport, contrôle aérien – mais aussi systémique puisqu’une vulnérabilité chez l’un peut finalement être exploitée chez l’autre.« 

Pour en parler, Julien Merali reçoit Stéphanie Buscayret, Chief Information Security Officer de LATECOERE et Eric Vautier, RSSI Groupe ADP, co-auteurs de l’ouvrage « Sécurité numérique & Aéronautique » de la Collection CyberCercle – Regards croisés.

Julien Merali : Pouvez-vous nous présenter le groupe ADP, qui est aujourd’hui le premier groupe aéroportuaire mondial ?

Éric Vautier : Le groupe ADP est historiquement l’opérateur des aéroports autour de Paris, Roissy et Orly et Le Bourget. Mais aujourd’hui, c’est un groupe mondial et on a des prises de participations dans 28 aéroports partout dans le monde.

Un réseau qui couvre l’ensemble du monde et qui, en nombre de passagers représente le premier groupe aéroportuaire mondial. 

Julien Merali : Stéphanie, est-ce que vous pouvez nous en dire plus sur Latécoère, qui est basé à Toulouse ? 

Stéphanie Buscayret : Latécoère est une maison plus que centenaire puisque c’est un des berceaux de l’aéronautique française. Un de nos premiers salariés était Antoine de Saint-Exupéry. 

Et aujourd’hui, on ne transporte plus du courrier avec des avions, mais on fabrique des morceaux d’avion. On est sous-traitant pour les plus gros avionneurs mondiaux : pour du long courrier, de l’avion régional, de l’avion civil, de l’avion militaire. 

On a deux filiales : une filiale qui fait des aérostructures, donc principalement des portes passagers et portes cargo. On fait des tranches d’avions en usine. Puis c’est assemblé chez l’avionneur. On fait le nez de l’A350 par exemple, et on faisait le menton de l’A380 et d’autres petites pièces comme ça. 

Et l’autre branche du groupe fabrique toute la partie électrique, tout le câblage électrique. Les avions sont des kilomètres de câbles. Selon la taille de l’avion, on a entre sept et vingt kilomètres de câbles. On fabrique également ce que l’on appelle des harnais électriques et les meubles qui sont l’équivalent de votre tableau électrique à la maison, où l’on branche tous les fils de l’avion.

On fabrique également des caméras. Pour ceux qui ont eu la chance de voyager sur l’A380, quand vous décollez, quand vous atterrissez, vous avez l’image du décollage et de l’atterrissage sur l’écran. Donc, c’est une petite caméra spéciale qui est sur l’empennage arrière de l’A380 et qui prend les images pour vous. Et puis on fabrique aussi des caméras qui sont invisibles du grand public mais qui servent aux pilotes car vu la taille d’un avion pour reculer, on ne met pas son coude à la fenêtre.

Il y a aussi des caméras au sol, pour regarder où se positionnent les roues et qui permettent justement de manœuvrer en toute sécurité. 

J.M : Éric, pouvez-vous nous présenter la publication sur laquelle vous avez travaillé ensemble, sur la sécurité numérique et aéronautique, et qui nous réunit aujourd’hui ?

Éric Vautier : C’est dans le cadre du CyberCercle qui est un think tank, qui essaye de promouvoir la confiance numérique auprès notamment, de nos élus et de nos collectivités locales.

J’ai la chance d’y être Senior advisor et d’utiliser mon expérience de RSSI pour pousser ces sujets-là, dans cette sphère un peu particulière. Et on a des collections thématiques, un regard croisé en l’occurrence sur la sécurité informatique dans l’aéronautique. 

Et j’ai eu la chance que tous ceux que j’ai pu solliciter aient répondu, dont Stéphanie que je remercie publiquement.

Et donc l’idée de ce volume était vraiment de donner un aperçu de toutes les problématiques autour de la confiance numérique ou de la cybersécurité dans l’aéronautique. 

Donc ça parle du règlementaire. On a l’ambassadeur de France auprès de l’OACI qui a contribué. On est tout en haut de l’aviation mondiale d’une certaine manière. On a l’ensemble de la chaîne depuis les contrôleurs aériens, les fabricants d’avions et leurs sous-traitants, et Stéphanie représente cet angle particulier. 

Cet ouvrage est en libre accès, sur le site

J.M : Stéphanie, quels sont vos enjeux cyber chez Latécoère ?

Stéphanie Buscayret : On a effectivement un panel d’enjeux et de protections qui vont être différents en fonction des métiers dont on parle. Même si on est un industriel manufacturier, on a différents métiers. On a évidemment les gens qui font de la R&D chez nous et qui sont sur des problématiques d’innovations assez pointues.

Innovations qui peuvent  être co-développées avec certains de nos clients ou fournisseurs, financés, par notamment, des institutionnels. Et donc tous ces efforts et tous ces investissements, il faut qu’on les protège aussi puisqu’on est sur des technologies de souveraineté. Tout le monde, tous les pays ne savent pas faire voler un avion et même s’ils savent le fabriquer, ils ne peuvent pas tous les faire voler partout.

Donc il y a cette problématique-là pour protéger nos investissements. On est sur un terrain informationnel qui est attractif en termes de captation d’information et de savoir-faire. 

On est bien évidemment, en tant que fournisseur de rang 1, directement en lien avec l’avionneur. Mais on a aussi notre chaîne puisqu’on est à la fois clients et fournisseurs dans cette chaîne. Et on a un devoir, qui est celui de ne pas être le maillon faible. 

D’un point de vue industriel, si, pour une raison cyber ou pas, nos chaînes de production venaient à être arrêtées, c’est aussi toute la chaîne de livraison qui viendrait à être handicapée, qui nous causerait quelques soucis contractuels et des pénalités. Et surtout, cela empêcherait la fabrication de l’avion. Il y a cette partie-là aussi. 

Alors le ralentissement de l’activité dû au Covid, a un petit peu amoindri ce genre d’impact. Mais ça repart fort, ça repart très fort. Donc il faut absolument que l’on soit capable de démontrer notre résilience opérationnelle pour ne pas être ce fameux maillon faible. 

On a également un autre volet de gestion de ce risque, c’est qu’on est aujourd’hui sur des marchés civils, mais vers une expansion sur des marchés militaires.

Et aujourd’hui, vous le savez, quand on met un morceau dans un avion militaire, on a des exigences de sécurité très fortes à démontrer dès la conception, le suivi, l’industrialisation et la mise en service. Donc, on a cette problématique là aussi de démontrer finalement les efforts que l’on fait vis à vis de nos clients.

Parce qu’aujourd’hui, la cybersécurité, c’est un critère de confiance. Nos clients, qui nous confient des données de fabrication ou des données de gestion de programme, doivent pouvoir nous les confier en toute sérénité. 

J.M : Et j’imagine que vous ne pouvez pas signer de contrat si vous ne montrez pas patte blanche en amont ?

Stéphanie Buscayret : Tout à fait. C’est pour cela aussi que la chaîne aéronautique européenne s’organise. Parce que si les avionneurs étaient les principales cibles d’attaques jusqu’en 2016, ils ont considérablement investi et resserré un peu tout ça. Et le niveau d’attaques a baissé. 

Par contre, il s’est déporté sur les filiales jusqu’à 2018, donc, ils ont fait ce même effort sur leurs filiales.

Et aujourd’hui, c’est nous, les fournisseurs, qui ne sommes pas les plus attaqués, mais les plus à risque finalement, parce qu’on est peut-être un peu moins armés que nos clients préférés. 

Donc, il y a tout un travail qui est fait, notamment avec le programme AirCyber qui est un programme très ambitieux et très volontariste, supporté par les grands avionneurs pour permettre à toute la supply chain, plus de 2 000 fournisseurs, de monter en maturité et de se muscler un petit peu là-dessus.

J.M : Éric, les aéroports sont des vrais hubs logistiques. Un aéroport, c’est par exemple combien de personnes et de biens qui transitent par jour ?

Éric Vautier : Sur un aéroport comme CDG, les jours de pointe l’été, c’est à peu près 200 000 personnes qui vont passer quotidiennement. Donc vous imaginez la difficulté de faire fonctionner tout cela de manière très fluide. Alors effectivement, il y a un grand nombre de personnels en plus. Sur Roissy, on a à peu près 3 000 employés d’ADP. 

Grosso modo, c’est 90 000 personnes qui peuvent aller travailler, pas tous le même jour bien entendu. Mais tout ce personnel va contribuer à faire en sorte que le parcours du passager soit le plus fluide possible. 

Il y a énormément de temporalités à respecter et la performance opérationnelle ne peut être atteinte aujourd’hui que par des interconnexions de systèmes. Il faut que l’information circule entre les différentes parties prenantes, que ce soit le trafic aérien, les contrôleurs aériens, la compagnie évidemment, et puis l’aéroport.

Cet ensemble doit être complètement intégré, fluide. 

Ces systèmes d’information sont forcément séparés mais ce sont des entités séparées qui ont des interconnexions. Et pour faire une simple analyse de risque, c’est toujours aux interfaces qu’on a des problèmes. Donc l’ensemble de la chaîne se doit de collaborer pour arriver à sécuriser la donnée, sécuriser les processus puisqu’on imagine assez rapidement des scénarios catastrophe quand on parle d’aéroport, d’avion, etc.

Tous ces éléments sont pris en compte depuis des années, avant la cybersécurité, puisque la sécurité de l’aviation a été au cœur depuis les débuts de l’aéronautique. 

On a commencé par d’abord arriver à faire de la sécurité aérienne et arriver à faire voler les avions, c’est quand même primordial. Ensuite, on a eu la partie terrorisme qui a contribué à favoriser un univers de sûreté pour les passagers. Aujourd’hui, la modernité nous pousse à faire la même chose avec cette collaboration efficace pour garantir le niveau de cyber sécurité pour l’ensemble de nos passagers. 

On a une espèce de continuum de sécurité qui doit gérer l’évolution de la menace, comme on dit dans notre milieu. Les attaques cyber n’étaient pas d’actualité, il y a encore une quinzaine d’années. Aujourd’hui, c’est un quotidien. Stéphanie a un peu parlé de ce que subit Airbus, qui est notre fleuron.

Donc on se retrouve aujourd’hui à devoir tous collaborer, que ce soit d’un point de vue purement opérationnel, mais aussi bien en amont, de la conception de l’avion et notamment toute la chaîne logistique qui doit permettre son assemblage. 

J.M : Dans un aéroport, il y a la sécurité des utilisateurs également … 

Éric Vautier : Oui, effectivement, vous avez raison, on a tout le volet purement cœur de métier. Mais un aéroport, c’est un lieu de vie. 

Vous avez des gens qui vont utiliser leurs services numériques comme dans la rue. On a toujours des inquiétudes autour du Wi-Fi. Dans le cas d’ADP, je vous rassure, il n’y en a aucune. On a un très bon opérateur Wi-Fi qui nous garantit le niveau de sécurité. Je vous garantis que sur Paris, il n’y a aucune crainte. Dans d’autres pays du monde, je ne vous le conseillerai pas forcément.

Donc, on en a un double enjeu en matière de cybersécurité, c’est le volet professionnel que j’évoquais. Et puis, garantir également qu’un passager, embarque avec presque sur lui une image d’un code barre sur son nom, sur son téléphone. Aujourd’hui, un téléphone, comme vous le savez, c’est un ordinateur. Et donc il faut également qu’on protège sur cette partie. 

J.M : Stéphanie, Quels sont les risques cyber rencontrés par les passagers aujourd’hui, dans l’usage des pièces de l’avion que vous construisez ?

Stéphanie Buscayret : Là aussi, il y a toujours des enjeux puisque ce qui n’est peut- être pas évident pour le grand public, c’est que lorsque l’on vous fabrique quelque chose avec des boulons, des choses très matérielles, cela influe à terme sur la sécurité des passagers. Pour donner un cas, qui reste un peu théorique, évidemment, on peut tout à fait imaginer un programme malveillant de sabotage sur un système industriel, par exemple, qui viendrait fausser des données de serrage. Ça veut dire que potentiellement, parce qu’un certain nombre de contrôle qualité sont opérées chez nous et ensuite chez l’avionneur, on pourrait imaginer un boulon, qui ne serait pas assez serré dans la vraie vie, mais qui aurait été considéré comme suffisamment serré, qui serait monté sur un avion et qui viendrait à se desserrer plus tôt que le timing normal de maintenance.

Donc ça pourrait créer non pas un accident, mais ça pourrait venir gêner les campagnes de maintenance. Ça pourrait venir éventuellement apporter une anomalie sur un contrôle d’avion puisqu’il ne serait pas conforme en termes de contrôle. Quand on immobilise un avion, la compagnie aérienne n’est pas contente et l’opérateur d’aéroport, non plus.

Il y a vraiment cette logique, qui est parfois peut être difficile à saisir. L’aéronautique est certainement un des secteurs les plus contrôlés en termes de normes, de contrôles qualité, de contrôles de safety. 

Ce qui va être intéressant, c’est par exemple l’évolution d’une réglementation, le part 21 et le part 145, qui encadrent ce qu’on appelle la safety et le fait que les pannes soient exemptes. 

Aujourd’hui, la façon dont on gère la garantie de safety est sur informatique. Donc ça veut dire que la réglementation évolue et qu’elle vient imposer la protection des données informatiques qui sont constitutives des garanties de safety. 

J.M : Et justement, vous êtes responsable de cette conformité des données ?

Stéphanie Buscayret : Chaque maillon de la chaîne est responsable de sa conformité. Encore une fois, tout le monde le fait au fur et à mesure. Et c’est comme ça que l’on intègre aussi notre continuum de sécurité. 

J.M : Eric, sur la gouvernance des données et la gouvernance cyber, quels sont les grands thèmes qui vous permettent de maintenir cette gouvernance et en même temps de faire preuve d’agilité ? On parle des Jeux olympiques de 2024, de la Coupe du monde de rugby également. Comment arrivez-vous à lier ces deux thématiques là ? 

Éric Vautier : C’est un exercice pas simple, effectivement. Sur la partie des données, on a des interfaces en permanence entre la compagnie aérienne et l’aéroport. Si vous enregistrez un bagage, il est évident que l’on va devoir manipuler les informations qui vous concerne pour savoir si vous êtes autorisé à monter dans l’avion et donc, votre bagage le sera également.

Donc, on a un certain nombre de contrats avec les compagnies aériennes sur la protection des données. On est tous soumis au RGPD, et l’on a un ensemble d’exigences réglementaires que l’on remplit très précisément.

Sur le volet de données, on est obligé de collaborer et d’avoir des interfaces qui soient sécurisées entre les compagnies aériennes, la navigation aérienne et l’aéroport. 

L’ensemble de ces données doit permettre la fluidité. Une perte de connexion de ces opérateurs peut déclencher des retards. 

Les aéroports français ont subi, comme tous les aéroports du monde, des attaques que l’on appelle en déni de service, qui sont opérationnelles depuis plus d’un an mais qui ont pris une autre dimension depuis le mois de mars.

Le but de ces attaques est de couper les connexions des aéroports sur des connexions vers Internet ou vers d’autres prestataires. On commence aujourd’hui à constater un certain nombre d’impacts. On a eu notamment un opérateur qui s’appelle Eurocontrol, une instance qui gère l’ensemble des plans de vol au niveau européen pour fluidifier le trafic aérien au-dessus de l’Europe, qui a subi une attaque qui était appelée un marathon par son attaquant.

Et pendant une centaine d’heures, cet opérateur a dû prendre des mesures et a dû couper certaines connexions. Ces coupures ont généré des impacts opérationnels sur la qualité et la fluidité du trafic.

Un aéroport comme Roissy, c’est un avion au seuil de pistes toutes les deux minutes. Vous ne l’obtenez pas autrement que par de l’informatique. 

Sur le volet grands événements, comme les Jeux Olympiques, on a aussi une obligation d’optimiser encore notre fonctionnement. On a tout un programme.

Ça passe par l’interconnexion d’un certain nombre de capteurs un peu partout dans l’aéroport, ce qu’on appelle aujourd’hui le Smart Airport. Donc d’arriver à fusionner l’ensemble des données, en un lieu unique qui permettra de prendre des décisions.  

Prenez par exemple un ascenseur qui se met à dysfonctionner.

Vous allez avoir un changement du flux des passagers, cela va ralentir un certain nombre de points de passage. Du point de vue du mainteneur de l’ascenseur, c’est juste un incident. Mais du point de vue de l’aéroport, il peut y avoir une conséquence sur la performance opérationnelle de l’aéroport, les passagers mettant plus de temps pour parcourir les couloirs ou arriver du parking, etc.

Donc, on va avoir aujourd’hui un besoin de centralisation de ces informations en un lieu unique, avec lequel on va essayer de mettre un certain nombre de dispositifs. Je ne vais pas parler de l’intelligence artificielle, mais de traitement de données en masse qui vont permettre une optimisation encore meilleure par rapport à ce qu’on vit aujourd’hui. 

Réaliser le smart Airport nécessite de connecter de plus en plus de choses, des systèmes plus ou moins critiques, avec des systèmes de vie courante.

Et on se retrouve encore une fois à devoir monter d’un cran notre sécurité, démultipliée également par les objets connectés. Vous avez par exemple un balisage moderne dans un aéroport avec des lampes connectées qui peuvent apporter de la donnée.

On voit clairement que toute cette masse d’informations remonte pour prendre des décisions et par construction, il faut que l’intégrité de cette donnée, c’est à dire l’exactitude de la donnée, soit conservée tout au long de la chaîne.

Encore une fois, je pense qu’un des maîtres mots qu’il faut garder, c’est le travail en commun de l’ensemble des fournisseurs et les parties prenantes sur un aéroport. 

J.M : Est-ce qu’il y a un cadre législatif qui existe et qui peut vous contraindre à respecter certaines règles ?

Stéphanie Buscayret : Cela va dépendre du segment d’activité dans lequel on travaille. Tout ce qui est activité militaire, c’est réglementé et très en ordre.

Sur la partie civile aujourd’hui, on n’a pas de réglementation cyber qui soit contraignante et qui viennent d’une autorité.

Par contre, la directive européenne NIS V2, effectivement va encadrer tout ça. Mais la première exigence qui existe pour nous, c’est celle de nos clients. 

J.M : Vous êtes une ETI mais vous avez les même exigences qu’un grand groupe du CAC40 ?

Stéphanie Buscayret : Ce sont les mêmes exigences contractuelles qui sont dans les contrats que signe Latécoère et que celles que signent des GAFAM.

Et l’évaluation de complétude, d’exigences, est parfois un tout petit peu plus relative pour nous parce qu’il y a des niveaux d’exigences qui ne font pas sens chez nous et qui font complètement sens sur de très gros opérateurs de stockage de données. Mais le contrat de base est le même. 

Éric Vautier : En fait, la variété des acteurs fait également une variété dans la réglementation. Vous prenez un aéroport, on a des contraintes de sûreté, c’est-à-dire de s’assurer que les passagers et les bagages sont exempts d’explosifs, pour simplifier le discours. En fait, ces systèmes aujourd’hui ne sont plus des systèmes rayons X comme autrefois.

Aujourd’hui, ce sont des logiciels d’analyse d’images qui vont faire ce travail, pour garantir l’intégrité des données, et nous assurer que l’image qui va être analysée est bien la bonne et qu’elle n’a pas été altérée dans un scénario un peu catastrophe. Il faut mettre en place des mesures et là, la réglementation est très stricte.

On a l’organisation de l’aviation civile internationale qui légifère, qui transmet ensuite région par région. Pour ce qui me concerne, au niveau de l’Europe, on a un certain nombre d’entités au niveau de la Commission européenne qui font ce travail, sur la sécurité physique, la sûreté et également sur la sécurité aérienne.

Là, on a également tout un écosystème de différentes agences européennes qui ensuite vont transposer ça, au niveau français, avec notamment la Direction générale de l’aviation civile. Et aujourd’hui, quand on parle de cybersécurité, l’ANSSI, est aussi très présente. Et donc, on a ce travail de coordination. 

On aura le même travail sur NIS 2 qui doit arriver en octobre de l’année prochaine, avec une transposition et c’est le problème d’une directive qui doit être transposée pays par pays.

Et là, on va avoir, et cela concernera directement Latécoère, des exigences qui sont renforcées et même très contraignantes sur tout ce qu’on appelle la supply chain, qui aujourd’hui, est dans une zone un peu grise. 

Sur la partie cybersécurité, il y a encore des marges de manœuvres qui tendent à se réduire au fur et à mesure que la réglementation avance. Ce travail de transposition que l’ANSSI va devoir mener, est fait également en concertation avec les principaux acteurs, les associations et représentants des aéroports.

Stéphanie Buscayret : Pour la partie aéronautique, ce sera avec le Gifas, le Groupement des industries françaises de l’aéronautique et du spatial qui représente aussi la globalité des acteurs de l’aéronautique et qui va pouvoir dialoguer avec l’ANSSI pour éviter d’empiler des couches et des couches, pour être le plus pragmatique possible, le plus efficace possible dans la transposition.

J.M : Alors je fais un pas de côté en vous parlant du film Boîte noire, où il est question d’un crash du vol Paris-Bubaï et où un Technicien au BEA enquête sur les causes possible d’un piratage. Est-ce que ces risques existent véritablement ? 

Éric Vautier : En fait, le scénario du film est très bien et a repris dans la presse des tentatives de hacking qui ont eu lieu. Cela reste un film mais qui pose un certain nombre de questions sur l’accès Wi-Fi à bord des avions, la connectivité dans les avions pour tous les services que le passager réclame.

Le scénario du film repose sur le détournement de l’ensemble de ces moyens, comme si c’était facile, comme si les avionneurs n’avaient pas imaginé cela… 

Mais la question se pose sur l’ensemble de nos objets du quotidien, qui reposent sur des systèmes d’informations. Donc tout individu est susceptible d’être victime d’une attaque cyber.

On doit donc éduquer la population à comprendre les usages : Comment vais-je me servir de mon ordinateur dans l’avion par exemple ? 

Un jour, il faudra y réfléchir. Tout le monde se connecte au WIFI et peut potentiellement voir l’ordinateur de son voisin. On a les fameuses images des gens qui voyagent dans le train et qui laissent leur ordinateur pendant qu’ils vont au wagon restaurant. Donc aujourd’hui, vraiment, la cybersécurité doit être un sujet de société.

J.M : En préparant cette intervention, vous disiez Stéphanie, qu’avec l’A380, il y a eu un changement de paradigme. Est-ce que vous pouvez nous en dire plus ?

 

Stéphanie Buscayret : La conception de l’A380 a marqué un changement de paradigme parce que, les avions d’avant,  étaient fabriqués et développés par des avionneurs, des ingénieurs aéronautiques. Même les câbles étaient fabriqués par eux. 

Donc pour savoir comment est construit un avion et du coup comment le hacker, il fallait, soit avoir participé à la conception, soit s’acheter un avion, le démonter, faire du rétro engineering. C’est possible, mais ce n’est quand même pas évident.

L’A380 a changé la donne parce qu’on y a intégré ce qu’on appelle des COTS qui sont en fait des logiciels qui existent au sol, des Windows, Ubuntu ou des Linux.

Typiquement, aujourd’hui, quand vous achetez du parfum au duty free, vous payez avec votre carte bleue. Ça veut dire que dans l’avion, il y a un serveur de carte bleue. Donc forcément, ça titille les gens qui sont un peu joueurs et cherchent à récupérer le numéro de carte bleue.

Ce sont tous ces risques qui ont été pris très au sérieux par les avionneurs européens. Et dès le départ, ils ont intégré dans les équipes, des hackers qui avaient la connaissance des vulnérabilités de ces systèmes.

Et c’est à partir de ce moment que l’on trouve des hackers dans les équipes qui fabriquent les systèmes avions et qui mettent à l’épreuve tout ce qui va être embarqué dans l’avion, qui teste la résistance aux attaques cyber. 

Ce qui est dans l’avion, mais aussi ce qui est au sol. Aujourd’hui, les systèmes numériques sont partout, dans la fabrication, dans la mise en service, dans la maintenance…. Et donc il faut s’assurer que tous les systèmes qui constituent tout le cycle de vie de l’avion, soient tous résistants aux attaques. 

J.M : Cela demande aussi, j’imagine, de changer de paradigme dans le recrutement des experts ?  

Stéphanie Buscayret : Ça a changé plusieurs choses effectivement. 

Les premiers hackers qui ont été embarqués ont trouvé plutôt sympa d’essayer d’attaquer un avion. C’était ça l’idée. Par contre, ce sont des profils qui ne sont pas  comme ceux d’avant. Ce ne sont pas des passionnés d’aéronautique mais de hacking. Ils sont excellents mais n’ont pas cette espèce d’amour filial pour les avions.

Et ce qui se passe aujourd’hui, c’est que ces profils, extrêmement compétents, sont recherchés et chassés par des GAFAM, Facebook, Apple. Et c’est extrêmement difficile de les garder aussi dans l’aéronautique. 

Mais on se dit que c’est quand même très noble comme objectif. Il y a une vraie raison d’être et nous cherchons des passionnés. 

Éric Vautier : Il y a aussi le cycle de vie de tous ces logiciels.

On évoquait la réglementation. Il y a d’abord des programmes de certification qui sont très stricts. Donc, quand vous avez un hacker qui trouve une vulnérabilité, il aura tendance à imaginer qu’elle va être corrigée dans la foulée. Sauf qu’une correction de ce type nécessite déjà un certain nombre de tests de non régression pour ce qui concerne les avions. C’est la même chose pour les équipements de sûreté. Tous ces équipements passent des cycles de certification qui, entre la découverte d’une vulnérabilité et sa correction en production et dans tous les aéroports, sur le terrain, peuvent nécessiter six mois, un an, juste à cause d’un processus de certification. Donc, on a aussi un besoin de réfléchir à d’autres manières de faire.

On est en collaboration pour les aéroports, avec les fabricants d’équipement de sûreté, pour arriver à faire en sorte que ce cycle de vie soit raccourci et séparer les fonctions quelque part entre la partie pilotage de la machine et la partie pure métier, détection.

Stéphanie Buscayret : Oui, effectivement, on n’est pas du tout dans le même espace-temps. L’espace-temps de la cyber, c’est presque à l’heure, à la minute, à la seconde pour les découvertes de vulnérabilités. Alors que les temps de vol d’un modèle d’appareil, ça peut être de 60 ans. Donc on est vraiment sur des strates totalement différentes. Il faut qu’on arrive à converger pour trouver quelque chose qui soit à la fois efficace en termes de résolution de vulnérabilités, mais tout aussi fort en terme de garanties données.

Parce qu’on ne peut pas se dire que l’on va corriger les vulnérabilités rapidement et mettre en défaut tout un système de certification qui fait que lorsque vous marchez dans la rue et qu’il y a un avion qui vous passe au-dessus de la tête, vous n’avez à aucun moment, la crainte qu’il vous tombe dessus.

J.M : Pour clore cette table ronde, Éric, quels sont les prochains enjeux en termes de cyber pour le groupe ADP ? 

Éric Vautier : On a un certain nombre de grands événements qui se profilent à l’horizon, avec particulièrement les Jeux Olympiques et paralympiques de l’année prochaine. La Coupe du monde de rugby est relativement répartie sur le territoire. Les Jeux Olympiques le sont beaucoup moins. 

Aujourd’hui, l’entreprise est complètement mobilisée sur la petite partie de la cybersécurité, mais d’abord et avant tout, sur l’accueil de toutes les populations qui vont arriver : les athlètes avec un certain nombre de matériel très particulier, toute la partie paralympique avec l’accueil des passagers à mobilité réduite. Nous avons vraiment un challenge au niveau de l’entreprise, sur l’accueil dans les meilleures conditions et puis l’efficacité opérationnelle.

Les Jeux Olympiques, ce sont deux moments très forts : la cérémonie d’ouverture et la cérémonie de clôture. Et donc là, on va avoir des pics assez conséquents car tout le monde va arriver et tout le monde va repartir juste après. Ce sont des challenges logistiques que l’entreprise va devoir traiter de manière à rendre cela le plus fluide possible.

Le groupe ADP a, bien entendu pris les enseignements auprès de nos prédécesseurs. Donc j’espère que l’on arrivera à en faire le meilleur usage. 

Sur la partie cybersécurité, c’est pareil. Bruno Marie-Rose, le DCI du comité d’organisation, considère qu’on aura entre huit et dix fois plus de tentatives de perturbation informatique.

Donc tout le monde s’attend à une déferlante de saturations et de tentatives de désorganisation des Jeux Olympiques, que ce soit sur les sites des épreuves, dans les aéroports ou dans les trains. 

J.M : Stéphanie, les prochains enjeux en termes de cyber ?

Stéphanie Buscayret : En termes de cyber, on a la consolidation de notre chaîne de production qui est très internationale et qui se numérise de plus en plus avec des acquisitions à l’étranger, à consolider et à intégrer dans le système d’information de manière sécurisée. On a la préparation de toute cette directive NIS2, qui va arriver, qui va un peu chambouler aussi, non pas les pratiques, mais plutôt la capacité à démontrer la mise en place de ces pratiques.

Et puis surtout, un challenge qui me tient aussi beaucoup à cœur. Aujourd’hui, on fabrique des morceaux de métal et des câbles. Par contre, toutes nos équipes de R&D travaillent aujourd’hui très fort et très en avance sur des produits de connectivité, de fibre optique, de Li-Fi à bord. Et tous ces nouveaux produits embarquent de l’intelligence et du logiciel. Et aujourd’hui, on sait pertinemment que ces produits, quand ils sortent de chez nous, doivent être cyber safe. 

Donc c’est aussi un challenge de transformation de notre façon de travailler pour intégrer des choses qui jusque-là étaient plus de l’ordre du POC ou du pilote, pour passer vraiment à la partie industrialisation de cette capacité, à démontrer le côté ciblé safe des produits. Parce que ces produits, à terme, seront montés sur des avions.

Propos recueillis par Julien Merali, General Manager du pôle IT d’Agora Managers Groupe.

Afficher plus

Agora RSSI et CISO

L’Agora RSSI et CISO est l’une des 17 communautés d’Agora Managers Clubs. Tous les membres exercent obligatoirement ladite fonction et sont issus d’un groupe ou d’une entreprise de plus de 500 salariés.
Bouton retour en haut de la page