Le secteur de l’aéronautique est imprégné d’une forte culture de la sécurité. La digitalisation accrue de ses opérations et de ses processus fait émerger de fortes préoccupations en matière de cybersécurité. En parallèle, la notion de cyber-résilience est de plus en plus évoquée pour désigner la capacité des organisations à s’adapter et à résister aux menaces cyber.
En quoi la notion de cyber-résilience est-elle particulièrement adaptée à la gestion des risques dans le secteur aéronautique ? Quelles sont les menaces spécifiques au secteur ? Comment protéger les systèmes critiques du secteur de l’aéronautique pour lui permettre d’atteindre une forme de résilience organisationnelle ? Explorons les liens qui lient le secteur de l’aéronautique avec la cyber-résilience.
Vulnerabilities and cybersecurity issues specific to the aerospace industry
Digitization of operations and activities
Comme dans bon nombre d’industries, la plupart des activités du secteur aéronautique sont aujourd’hui fortement dépendantes des technologies numériques : planification des vols, contrôle du trafic aérien, dématérialisation des ventes de billets, relation clientèle avec les passagers, opérations de maintenance, processus d’embarquement, accès WiFi à bord des aéronefs, etc. Cette digitalisation accrue des activités rend le secteur de l’aéronautique particulièrement vulnérable.
Securing the aeronautics supply chain
D’autre part, le secteur de l’aéronautique est constitué d’un grand nombre d’entités. Si les grands acteurs sont désormais conscients des risques cyber et généralement mieux protégés, ce n’est pas forcément le cas de l’ensemble de sous-traitants.
Une cyber-attaque réussie à l’encontre d’un acteur du secteur peut affecter un grand nombre de personnes et d’entreprises, avec des conséquences financières certaines. Les différents acteurs de la chaîne de valeur de l’aéronautique doivent donc renforcer leur posture de cybersécurité pour protéger l’ensemble du secteur.
Aeronautics, a sensitive and strategic sector
Les questions de sécurité et de gestion des risques sont au cœur des problématiques du secteur de l’aéronautique étant donné son caractère sensible et stratégique. Protéger les systèmes critiques du secteur aéronautique est un impératif. Il est donc logique que les enjeux de cybersécurité et que la notion de résilience organisationnelle y tiennent une place grandissante.
The potential consequences of cyber attacks in the aeronautics sector
Air traffic disruption
L’une des conséquences les plus visibles d’une cyber-attaque dans le secteur de l’aéronautique est la perturbation des activités aériennes : retards ou annulations de vols, voire paralysie du trafic pour un temps donné. La sécurité des passagers est également en jeu.
Data breaches
Le secteur de l’aéronautique traite une importante quantité de données sensibles : informations personnelles relatives aux passagers, données concernant les vols, informations commerciales, financières et stratégiques relatives aux relations avec les sous-traitants, etc.
Des violations de données peuvent occasionner des pertes financières, générer une perte de confiance de la part des clients, porter atteinte à la réputation d’une entreprise ou encore entraîner des amendes et des actions en justice.
Attacks targeting the supply chain and suppliers
La supply chain du secteur de l’aéronautique est particulièrement grande, avec des acteurs interconnectés : constructeurs d’avions commerciaux, fabricants de moteurs, transporteurs de fret aérien, compagnies aériennes, etc. Cette interdépendance entre les différents acteurs renforce la vulnérabilité du secteur de l’aéronautique. Porter atteinte à l’un des acteurs peut causer des dommages à d’autres entités de l’écosystème.
Financial losses
Les pertes financières générées par des cyberattaques dans le secteur de l’aéronautique peuvent être importantes et de différentes natures : pertes de revenus liées à la perturbation des activités, prestations nécessaires pour gérer la réponse à incident, reconstruction des systèmes critiques affectés, amendes pour non-conformité aux exigences réglementaires, etc.
Examples of cyber attacks in the aeronautics sector
EasyJet, mai 2020
Lors de cette cyberattaque, les attaquants ont réussi à s’emparer des adresses email et informations de voyage d’environ 9 millions de clients. Plus de 2 000 passagers ont également vu leurs données de carte bancaire divulguées.
Attaque de Boeing par LockBit, octobre 2023
Le premier groupe mondial d'aéronautique Boeing a été touché par une attaque de type ransomware menée par le groupe LockBit. D’après Boeing, la cyber-attaque a touché l’activité de pièces détachées et de distribution de l’entreprise, sans affecter la sécurité des vols. De son côté, le groupe de cybercriminels a affirmé avoir mis la main sur de grandes quantités de données sensibles et menacé de les diffuser afin d’obtenir le paiement d’une rançon. Le groupe de cybercriminels a mis ses menaces à exécution en publiant des données volées.
What is the concept of cyber-resilience?
Cyber-resilience: definition
Le concept de cyber-résilience désigne la capacité d’une organisation à anticiper et à accepter la possibilité qu’une cyber-attaque survienne. Il s’agit d’une approche plus large et plus globale que la cybersécurité. La cyber-résilence invite les organisations à passer d’une approche passive à une approche proactive de la cybersécurité. C’est en devenant cyber-résilientes qu’elles pourront minimiser les dommages et maintenir leur productivité en cas de cyberattaque.
The benefits of cyber resilience
Faisant partie des bonnes pratiques du guide d'hygiène informatique, la cyber-résilience améliore la posture de cybersécurité des entreprises et leur offre une meilleure résistance en cas de cyberattaque, avec à la clé :
• Une réduction des pertes financières
• Une atténuation de la dégradation de l’image suite à une cyberattaque
• Un avantage concurrentiel par rapport aux entreprises qui n’intègrent pas la notion de cyber-résilience
Strategies for implementing cyber resilience in the aerospace industry
Cyber-resilience posture common to all players
En raison de sa vulnérabilité et de la criticité de ses systèmes et opérations, le secteur de l’aéronautique dans son ensemble doit aujourd’hui se préparer à être attaqué, et surtout à poursuivre ses activités en toute sécurité en limitant au maximum l’impact d’une cyberattaque. Construire cette posture de cyber-résilience nécessite une collaboration renforcée entre les différents acteurs (partage d’informations sur les menaces, par exemple) afin de sécuriser l’ensemble de la chaîne de valeur de l’aéronautique et en faire un secteur résilient.
Différentes initiatives illustrent cette prise de conscience collective et cette nécessité de mieux comprendre et gérer les risques cyber au sein du secteur. La création de l’Aviation ISAC (Information Sharing and Analysis Centers) ou encore du Centre Européen pour la Cybersécurité dans l’Aviation (ECCSA) participent au développement de cette posture.
Risk management, continuous assessment and monitoring
La première étape d’une démarche de cyber-résilience consiste à identifier et évaluer les risques spécifiques auxquels est exposé le secteur de l’aéronautique. Les différentes entités peuvent ainsi lister leurs vulnérabilités et affecter efficacement leurs ressources à la surveillance de leurs systèmes critiques, à la détection et à la réponse aux menaces. Des plans de réponse aux incidents, des exercices de simulation et des actions de formation des employés participent au développement de cette posture de cyber-résilience.
L’industrie aéronautique étant fortement interconnectée, cette démarche de gestion des risques doit être étendue à l’ensemble des acteurs de la chaîne d’approvisionnement.
Regulatory compliance and safety standards in the aeronautics sector
International standards
À l’échelle internationale, l’Organisation de l’aviation civile internationale (OACI) est désormais consciente de la nécessité d’adopter une posture de cyber-résilience. Elle a donc commencé à intégrer cette notion dans les normes du secteur, incitant ainsi États et agences de sécurité de l’avion à mettre en place des mesures visant à développer la cyber-résilience.
European standards
At European Union level, safety regulations in the aviation sector are steered by theEuropean Aviation Safety Agency (EASA). EASA's safety requirements are binding throughout Europe.
Les évolutions réglementaires en cours (transposition des normes de l’OACI, par exemple) participent d’ailleurs au développement d’une posture de cyber-résilience au sein de l’ensemble du secteur aéronautique. Cela passe par une meilleure connaissance et prise en compte des risques, une identification des systèmes critiques pouvant être ciblés par des cyberattaques et par la prise en compte de la diversité d’entreprises de l’aéronautique afin de couvrir l’ensemble de la chaîne de valeur du secteur.
EUROCONTROL (Organisation européenne pour la sécurité de la navigation aérienne) publie également chaque année une carte des incidents de cybersécurité du secteur aéronautique. Cette publication est produite par le centre de réponse aux attaques informatiques pour la gestion du trafic aérien en Europe (EATM-CERT, European Air Traffic Management Computer Emergency Response Team).
The aerospace sector is particularly exposed to cyber threats, given the increasing digitalization of its operations and the critical nature of its activities. Cyber resilience is a relevant concept for protecting critical systems and strengthening the organizational resilience of the entire sector.
Vous aimeriez savoir comment OverSOC peut vous aider à mieux maîtriser votre système d’information et à développer une posture de cyber-résilience ? Contactez-nous.
