A la suite des attentats aériens survenus au cours des dernières décennies, les acteurs de l’aviation civile n’ont eu de cesse de renforcer les mesures de sécurité à bord des avions. Entre portes de cockpit blindées et conteneurs cargo résistants aux explosifs, la panoplie de dispositifs mis en place a contribué à rendre les avions plus sûrs. Avec la transformation digitale et la généralisation des transmissions massives de données numériques entre les avions et le sol, ces derniers ne sont cependant d’aucune utilité face aux nouvelles menaces que représentent les cyberattaques.
Une nouvelle menace
Le groupe Thales, chef de file mondial dans les équipements numériques avionnés, s’est récemment penché sur la réalisation d’une étude à propos des risques liés aux envois de données massives à bord des avions. Alors que les avions commerciaux modernes ne cessent d’accroître leur quantité de données échangées avec le sol, l’entreprise avertit sur les dangers potentiels de ce nouveau mode d’échange. Les canaux de transmissions sont devenus nombreux, entre les connections Wi-Fi à bord, les équipements numériques des pilotes ou les boîtiers d’enregistrement de données avion. Bien que tous ces dispositifs participent à améliorer les opérations aériennes, ils sont surtout à l’origine d’un accroissement de la vulnérabilité des appareils commerciaux.
Selon les termes utilisés par les réalisateurs de l’enquête : « désormais, nos avions ne sont plus connectés seulement aux compagnies aériennes ou aux services de navigation, mais sont reliés à internet dans sa globalité. Assurer qu’un avion est sécurisé en supprimant tout risque d’attaque physique n’est plus suffisant, il y a un véritable besoin de sécurisation et de protection des avions connectés. » L’enjeu devient alors réglementaire et il est devenu nécessaire pour les autorités aéronautiques de réfléchir aux nouvelles normes qui régiront la certification des avioniques et autres équipements numériques.
Rendre l’industrie aéronautique sûre : encore du chemin à parcourir
Afin de mesurer la place qu’occupe la question de la cybersécurité au sein des entreprises de l’aéronautique, le cabinet d’audit PwC a conduit en 2015 une enquête auprès des PDG de l’industrie. Les résultats obtenus confirment que les acteurs de l’aéronautique, réputés pour leurs hauts standards de sécurité, ont bien pris en compte les risques que représente la transmission massive de données depuis et vers les avions. Ainsi, 85% des PDG du secteur aéronautique interrogés affirment voir la cybersécurité comme un risque majeur, contre seulement 61% des PDG dans les autres secteurs.
Ces résultats doivent cependant être nuancés par une autre enquête réalisée par le cabinet new-yorkais Oliver Wyman. Celui-ci lève le voile sur la réalité de la gestion du risque de la cybersécurité auprès des grandes sociétés aéronautiques : bien que les interrogées affirment être préoccupées par la sécurisation de leur chaîne de données, seulement 36% d’entre elles ont déjà évalué les risques liés à la cybersécurité au sein de leur activité. Pour une compagnie aérienne par exemple, ces risques sont nombreux, allant du pilote utilisant une clé USB infectée, à l’agent de vente téléchargeant un fichier malveillant.
Protéger ne suffit plus
Il reste donc encore du chemin à parcourir avant d’assurer une sécurisation complète des systèmes à bord et au sol. Chez Thales, la gestion de risques est perçue comme un moyen de faire face sereinement aux cyberattaques. De ce fait, la simple protection des systèmes n’est plus suffisante. Il faut partir du principe que l’attaque peut avoir lieu et préparer une capacité de réaction suite à cela. La résilience aux cyberattaques, en assurant le fonctionnement de fonctions vitales en cas d’atteinte d’un système, apparaît donc comme la seule solution pour maintenir nos avions sûrs. Le groupe Thales a d’ailleurs signé, en mai dernier, un contrat portant sur le renforcement de la capacité de détection des cyberattaques et la gestion des risques qui en découlent pour le compte d’Eurocontrol.
Sur une autre échelle, l’entreprise Osprey Flight Solution a dernièrement vendu à Virgin Atlantic son logiciel Fligth Risk Assessment System (Système d’Evaluation des Risques en Vol). Basé sur une extraction de données internet, ce dernier analyse des informations en provenance de sources telles que médias, réseaux sociaux ou entités gouvernementales afin de déterminer la hauteur des risques liés au survol d’un territoire en particulier. A l’aide de processus d’apprentissage automatique et de données statistiques, le logiciel est capable de fournir à la compagnie des informations sur les régions survolées, tant au niveau cybercriminalité, qu’au niveau des attaques physiques.
Ce produit est le signe que les compagnies aériennes commencent à sérieusement considérer la question de la cybersécurité à bord des avions. Au vu de l’ampleur que les échanges de données digitales prendront dans le ciel de demain, il reste à présent aux autorités à légiférer sur les mesures à prendre pour les opérateurs aériens. Si aujourd’hui une compagnie aérienne peut se retrouver sur liste noire d’une autorité aérienne à cause de négligences sur la maintenance des avions, il se peut que demain, les compagnies puissent s’y retrouver à cause d’un manque de protection des systèmes numériques avionnés. La digitalisation n’a donc pas fini de transformer notre industrie !
Un éclairage sur les moyens d’assurer sereinement la transformation digitale des entreprises de l’aéronautique sera apporté lors de la conférence sur la digitalisation organisée par l’Excellence Club Aerospace à Toulouse le 12 juillet 2018 : www.excellence-club-aerospace.com
Loïck LAROCHE-JOUBERT