Passer au contenu

Comment la cyber-résilience peut-elle sécuriser le secteur aéronautique ?

Houssama Bouterbiat
19 juin 2023

Ecosystème complexe et composé de multiples acteurs, lesquels ont tous pour objectif l’acheminement de passagers ou de marchandises par la voie aérienne, le transport aérien s’est construit au fil des décennies sur une solide culture de sécurité.

Ancré dans un écosystème d’évolution technologique constante, il devient aujourd’hui un domaine hyper-connecté, rendant cette industrie plus sensible aux menaces cyber.
Dans ce contexte, la cyber-résilience devient ainsi une priorité. Elle est le gage de la capacité du secteur à résister, à se rétablir et à s’adapter face à une cyberattaque, garantissant ainsi sa pérennité.

Il est donc impératif pour le transport aérien de considérer la cyber-résilience dans une perspective systémique et holistique et de diffuser une culture de cyber-résilience à travers tous les métiers du secteur.

La sécurité : une marque de fabrique du transport aérien

Le transport aérien est de nos jours considéré comme le moyen de transport le plus sûr. A l’instar de secteurs à haut risque comme le nucléaire, l’aérien se doit en effet d’assurer une sécurité rigoureuse. De fait, il s’est doté dès l’origine d’une culture de sécurité garantissant un engagement continu pour la sécurité des vols et du ciel. 

Historiquement, celle-ci s’est focalisée sur la sécurité physique et la sûreté de fonctionnement. Le cyber-risque, considéré comme négligeable, était largement ignoré en raison de la faible connectivité du secteur et de la longévité des composants utilisés. Par exemple, le contrôle aérien s’effectue encore via des fréquences radio, et certaines mises à jour de Boeing 747 nécessitent toujours l’utilisation de disquettes.

Toutefois, la connectivité grandissante impacte aujourd’hui le secteur, qui doit faire face à ses conséquences et aux risques associés.

Le cyber-risque : un défi pour l’ère de la connectivité

Les nouvelles générations d’aéronefs dotées de systèmes connectés, les innovations telles que les drones taxis (qui devraient transporter des passagers pour la première fois à l’été 2024, à Paris), et le transport de passagers sans pilote grâce à l’intelligence artificielle, sont autant d’illustrations flagrantes de cette mutation.

Parallèlement, les systèmes et communications autrefois isolés s’ouvrent à la connectivité. Le système de gestion du trafic aérien, par exemple, connaît une transformation majeure.

Cette transition numérique croissante du secteur ouvre un nouvel éventail de possibilités aux cyber-attaquants. Les scénarios envisageables sont nombreux, allant de l’arrêt des services de signalisation dans un aéroport à l’immobilisation complète du trafic aérien, en passant par des attaques ciblées contre les logiciels et les données sensibles à bord des avions. Face à ces nouveaux risques d’attaque, la notion de cyber-résilience s’impose peu à peu comme enjeu majeur du secteur aérien.

La cyber-résilience : une nécessité dans le nouvel âge du transport aérien

Le secteur aérien doit aujourd’hui non seulement s’attendre à être attaqué, mais aussi être prêt à rebondir. L’industrie aérienne se doit donc de prioriser la cyber-résilience pour être capable de continuer à fonctionner en sécurité, même en mode dégradé, après une attaque.

Les régulateurs tels que l’Organisation de l’Aviation Civile Internationale (l’OACI), conscients de cette nécessité, ont d’ailleurs commencé à intégrer la cyber-résilience dans les normes du secteur, à l’image du secteur financier et de son règlement D.O.R.A. Etats et agences de sécurité de l’aviation sont ainsi incités depuis 2019 à prendre des mesures pour viser la cyber-résilience. Au niveau européen, le PART INFORMATION SYSTEM visant la cyber-résilience du secteur a lui été mis en place en 2023.

Une vision holistique de la cyber-résilience : un pour tous, tous pour un

Au-delà des obligations réglementaires, atteindre la cyber-résilience nécessite une vision holistique et intégrée par tous les acteurs de la chaîne de valeur aérienne. L’objectif doit être la sécurisation de bout en bout : du fabricant de pièces à l’opérateur d’aéroport ou au développeur de logiciels. Une faille au niveau d’un seul maillon de cette chaîne peut mettre en péril la sécurité de l’ensemble.

Dans ce secteur interconnecté, le partage d’informations sur les menaces et les bonnes pratiques devient donc primordial.  Bien que la démarche puisse sembler complexe pour des acteurs habitués au secret, un tel partage est crucial pour créer un secteur résilient.

Quelques initiatives timides ont commencé à émerger, avec notamment la création d’un CERT (Computer Emergency Response Team) par l’Air Trafic Management, ou encore l’ISAC Aviation (Information Sharing and Analysis Centers Aviation). Enfin, créé récemment, le Centre Européen pour la Cybersécurité dans l’Aviation (ECCSA) vise à améliorer la compréhension et la gestion des risques de cybersécurité dans l’aviation, renforçant ainsi la résilience du secteur.

Toutefois, malgré ces avancées certes non négligeables, l’ampleur et l’efficacité de ces actions restent à consolider.

Inculquer une culture de la cyber-résilience

La culture de sécurité est profondément ancrée dans l’industrie, tant au niveau organisationnel qu’individuel, il est donc essentiel de la prolonger vers la cyber-résilience afin de garantir au secteur aérien une sécurité globale et résiliente. Cette acculturation à la cyber-résilience doit imprégner tous les métiers et tous les niveaux organisationnels et individuels.

Auteur :

Houssama Bouterbiat

Cybersecurity Strategy and Governance Advisor
Houssama Bouterbiat est consultant en cybersécurité spécialisé dans le transport aérien chez Capgemini. Passionné par l’aviation, il se concentre depuis 2019 sur la cybersécurité de ce secteur, notamment à travers un mémoire de recherche sur la cyber-résilience du secteur. Il a depuis appliqué ses connaissances théoriques chez Capgemini, où il travaille avec des clients industriels du domaine aéronautique pour intégrer les principes de sécurité dans leur infrastructure et leurs produits