L’aviation européenne se renforce pour lutter contre les Cybermenaces !

 

La Cybersécurité est devenue un enjeu majeur ces dernières années pour les entreprises, d’une part avec le développement fulgurant de technologies toujours plus connectées et d’autre part la multiplication de Cyberattaques touchant tous types d’entreprises et de secteurs d’activités. Sans grande surprise, le secteur de l’aviation lui-même n’est pas non plus épargné par la cybermenace.

Cybermenace qui ne relève d’ailleurs pas simplement d’un film d’action Hollywoodien, mais bel et bien d’une réalité, à l’image de la Cyberattaque ayant touché la compagnie aérienne polonaise Lot en juin 2015, clouant au sol les avions pendant plusieurs heures.

Bien que l’implication de Cybercriminels ne faisait aucun doute à l’époque, la compagnie aérienne avait tenté de camoufler cette Cyberattaque et n’a d’ailleurs jamais reconnu officiellement la nature de l’incident.

Un manque de transparence qui n’a pas sa place dans un secteur pourtant très exposé.

C’est pourquoi l’Agence Européenne de la Sécurité Aérienne (AESA), a intégré la Cybersécurité à ses compétences depuis septembre 2018 et entend bien inciter tous les acteurs du secteur à prendre pleinement conscience des enjeux et à adopter un système contre les cybermenaces.

 

 

La Cybersécurité : nouvelle compétence de l’AESA

 

Preuve supplémentaire de l’intensification du risque cyber : l’AESA a intégré la Cybersécurité à la liste de ses compétences.

Si, lors de l’entrée en fonction de cette agence en 2003, la Cybersécurité était loin d’être au premier plan, elle s’avère aujourd’hui cruciale et a donc logiquement été intégré aux compétences de l’AESA, via son nouveau règlement entré en vigueur en septembre dernier.

À travers ces nouvellescompétences, c’est l’ensemble du secteur aérien européen que l’AESA souhaite renforcer, comme l’a expliqué Patrick Ky, président de l’AESA, lors d’une rencontre organisée par l’AJPAE (Association des Journalistes Professionnels de l’Aéronautique et de l’Espace), début décembre : « Nous n’avons pas vocation à devenir un centre cyber d’alerte H24, mais nous nous sommes rendus compte de plusieurs faiblesses dans ce domaine ».

Et en effet, les faiblesses de ce secteur sont bien réelles !

Peu après la cyberattaque subit par la compagnie aérienne polonaise Lot, qui a eu lieu en juin 2015, Patrick Ky avait émis des doutes quand au rapport commandé suite à cet événement et dans lequel un groupe de l’OACI (Organisation de l’Aviation Civile Internationale) assurait alors à l’époque que le risque Cyber étaitfaible.

Toujours en 2015, le président de l’AESA avait alors employé les grands moyens, en missionnant lui même un hacker pour prouver ses dires.

Le hacker en question était parvenu, assez facilement, à entrer dans le réseau d’une compagnie aérienne puis au sein du système de contrôle d’un avion : « j’ai fait intervenir un hacker, détenant également une licence de pilote d’avion commercial. En moins de cinq minutes, il est arrivé à entrer dans le réseau d’une compagnie aérienne avec un profil d’administrateur. Il s’agissait du réseau ACARS, le réseau de messageries entre l’avion et le sol ».

Sur demande de Patrick Ky, le hacker avait poursuivit son attaque et « au bout de deux à trois jours, ce hacker a même réussi à pénétrer dans le système de contrôle d’un avion“. Bien qu’il s’agissait d’un avion au sol et non en plein vol, cette attaque contrôlée avait posée, à juste titre, de nombreuses questions.

Mais au-delà de la simple prise de conscience des acteurs du secteur, c’est avant tout une coopération et une transparence qu’il faut instaurer pour se renforcer contre la Cybermenace.

 

Une plateforme d’échanges d’informations pour plus de transparence et d’efficacité

 

Outre l’attaque subit par la compagnie aérienne polonaise Lot, c’est avant tout le comportement de celle-ci face à l’incident qui avait soulevé de nombreux problèmes, comme l’explique Patrick Ky :

« La première faiblesse du secteur, c’est l’échange d’information ». Sans nommer spécifiquement la compagnie Lot, il avait ajouté que « leur système de gestion des opérations est un système de Luthansa, qui est le même que 70% des compagnies aériennes dans le monde. Ce qui m’a dérangé, c’est que cette compagnie a été attaquée et n’a pas distribué l’information aux autres compagnies pour qu’elles puissent se protéger contre une attaque similaire ».

L’AESA, qui ne veut plus de ce type de comportement prône donc plus de transparence et une véritable circulation de l’information.

C’est pourquoi elle lance une plateforme d’échanges entre l’ensemble des acteurs, que ce soit les compagnies aériennes bien sûr mais également avec le Centre Cyber des Institutions Européennes de Bruxelles, avec qui un partenariat a été noué : « Nous avons détaché une personne dans ce centre qui diffuse ensuite les informations à un réseau de compagnies aériennes, d’autorités nationales ou bien encore de constructeurs », a précisé le président de l’AESA.

 

 

 

Intégrer l’ensemble de la Supply Chain pour améliorer la Cybersécurité du secteur aérien !

 

La plateforme d’échanges d’informations lancées par l’AESA n’est pas la seule action pour lutter contre le risque Cyber.

Patrick Ky part du principe que « un avion peut être cyber sûr, et certifié en tant que tel, mais dans la vie de cet appareil, à chaque nouvelle opération de modification ou de maintenance, on introduit un nouveau cyber risque », en précisant que « si Airbus et Boeing font de la cybersécurité une priorité, ce n’est pas forcément le cas d’un atelier de maintenance.

L’AESA souhaite donc sensibiliser et intégrer l’ensemble des acteurs de la Supply Chain à ces questions, au travers d’un nouveau règlement qui viserait à obliger l’ensemble des acteurs du transport aérien à :

  • définir une politique de Cybersécurité,
  • développer un système de gestion des Cyber risques.

En revanche, si l’AESA espère faire adopter ce nouveau règlement d’ici fin 2019, cela nécessite que l’ensemble des acteurs européens, ainsi que les autorités nationales respectives de ces différents acteurs disposent de réels cadres et de mesures en terme de gestion du risque Cyber, ce qui n’est pas toujours le cas pour le moment.

 

 

Rejoignez-nous 

Vos études touchent à leurs fins ou vous êtes à la recherche de nouveaux défis ? Alors rejoignez Adentis dès aujourd’hui en cliquant sur le lien ci-dessous :

>> Je veux rejoindre Adentis <<