Les menaces cyber représentent un enjeu majeur pour les géants français de l’aéronautique et de l’aérospatial. Si les grandes entreprises disposent de systèmes de plus en plus sécurisés, un point faible demeure au sein de leur disposition de défense cyber : leur supply chain. Face à ce défi, BoostAeroSpace a lancé le programme AirCyber en 2019.
Le programme AirCyber, développé par BoostAeroSpace depuis 2019, est né afin d’assurer la sécurisation cyber de la supply chain aéronautique en instaurant une « démarche cybersécurité » selon Romain Bottan, directeur du programme AirCyber. En effet, cette dernière est particulièrement vulnérable aux menaces cyber comme l’affirme Pascal Andrei, CSO d’Airbus. C’est face à ce constat que les quatre grandes entreprises du secteur, Airbus, Dassault, Safran et Thales se sont réunies pour créer BoostAeroSpace.
Cette démarche s’inscrit dans le contexte particulier de la filière. D’une part, le secteur aéronautique et aérospatiale français représente 4,3% du PIB français. C’est le premier poste d’exportations dans la balance commerciale française avec 23,5 milliards d’euros exportés en 2022 par les plus de 1000 entreprises et 250 000 salariés du secteur. D’autre part, c’est un secteur qui présente des enjeux de souveraineté majeurs : expertise humaine, technologies de pointe développées, marchés sensibles (notamment la Défense)…
Quatre grands acteurs déjà résilients
Selon Pascal Abdrei, la « la supply chain peut être considérée comme le talon d’Achille de toute organisation ». Quatre grands acteurs dominent la filière. Airbus est leader mondial dans la fabrication d’avions (civils et militaires). Safran est spécialisé dans la propulsion aéronautique et spatiale. Dassault Aviation est connu pour ses avions militaires (Mirage, Rafale) et ses jets d’affaires. Thales est spécialisée dans l’aérospatial, la défense et la sécurité. Chacun de ces acteurs investit dans sa cybersécurité. Airbus Protect et Airbus Defence and Space Cyber s’attachent à la gestion des risques et développent des solutions de cybersécurité. Safran a renforcé sa politique de cybersécurité en 2020 et puis en 2021 via un plan Cyber. Dassault investi également dans sa défense cyber et Thales propose également des services pour sécuriser ses systèmes d’information. Les quatre grands acteurs sont ainsi résilients, capables de se défendre et répondre à une attaque sur leurs systèmes d’information.
Des prestataires qui peinent à s’aligner sur ces standards
Cependant, de l’avis de ces mêmes acteurs, leurs propres fournisseurs et prestataires ne prennent pas assez en compte ces risques cyber. Cela présente pour les quatre grandes entreprises de la filière un point faible dans leurs dispositifs respectifs de cybersécurité. En effet, une fuite de données sensibles chez un fournisseur implique de façon mineure ou majeure des conséquences sur d’autres fournisseurs de la chaîne d’approvisionnement. Elle ouvre une surface d’attaque sur ces autres fournisseurs et ainsi fournit un moyen in fine d’attaquer les quatre grandes entreprises majeures de la filière. Cette surface d’attaque correspond à tous les vecteurs par lesquels des attaquants peuvent s’introduire dans le système d’information (SI) d’une entreprise.
Les petites et moyennes entreprises (PME, 20-249 employés) et très petites entreprises (TPE, 0-19 salariés) sont naturellement moins bien équipées que les grands groupes pour faire face aux menaces cybers dû à leur plus petite taille alors qu’elles constituent la majorité de la supply chain. En effet, La Grande Consultation des entrepreneurs constate que seulement 28% des dirigeants de petites entreprises se disent préoccupés par la cybersécurité en 2022. Cela est dû à plusieurs facteurs : absence de considération stratégique vis-à-vis de la valeur des données, manque d’investissement à court et long-terme dans la cybersécurité, absence de personnel formé et dédié au sein des PME (Responsable Sécurité des Systèmes d’Information – RSSI). Cela peut mener à des problèmes où les responsabilités autour du système d’information (SI) se retrouvent dispersées entre plusieurs directions, diluant l’efficacité d’une politique de cybersécurité, pour peu qu’une telle politique existe. L’absence de vision stratégique des données de l’entreprise est également à la racine du manque d’esprit de résilience au sein des entreprises de la supply chain.
De plus, l’interconnexion de systèmes anciens et plus récents dans l’appareil de production est également un facteur de risque. Le parc industriel aéronautique français s’est définitivement structuré avec la création du groupe Aérospatiale à Toulouse en 1970. Cependant, certains outils de production construits il y a près de 50 ans répondent à des normes de sécurité obsolètes par rapport aux standards actuels. Selon Michel Hoffman, Directeur du programme cybersécurité à Sopra Steria : « il existe un vrai déficit de maturité de la cybersécurité dans le domaine industriel ». C’est le cas du projet SANDRA, lancé en 2013, une initiative de recherche aéronautique européenne visant à moderniser les communications aéronautiques. L’objectif était de développer un système de communication utilisant l’Internet Protocol (IP) pour transmettre de manière plus efficace les données entre l’avion et le sol. Le test et l’intégration de ce projet ont été faits sur le Airbus A320 (la famille d’avions de ligne la plus vendue au monde) dont le premier modèle date de 1986, intégrant ainsi des technologies modernes sur un modèle d’avion en service depuis 36 ans. Or, dès 2014, le chercheur espagnol Ruben Santamarta trouve une faille qui permet d’attaquer les équipements de communication satellite pour interférer avec les systèmes de navigation d’un avion, et ce seulement en utilisant le wifi à bord des avions.
Les acteurs de la menace – La prédation de données
Les cyberattaques sont issues de groupes de hackers de plus en plus structurés et sophistiqués. Ils disposent désormais pour certains du soutien d’États qui les intègrent à leurs arsenaux géopolitiques et géoéconomiques.
Beaucoup d’attaques cyber prennent la forme de ransomware (rançongiciel), logiciel malveillant chiffrant les données d’un SI et dont la clé de déchiffrement est en théorie donnée après le paiement d’une rançon, affectant plus ou moins lourdement l’entreprise. D’un autre côté, des groupes peuvent poursuivre une motivation plus géopolitique et particulièrement géoéconomique. Ces groupes sont généralement soutenus de façon plus ou moins avérés par un Etat, comme le groupe russe APT28 (responsable d’attaques sur la filière aérospatiale en Allemagne). Leurs objectifs peuvent être multiples mais sont souvent entremêlés. La nature stratégique de la filière aéronautique la rend particulièrement sensible à ce type d’attaques.
Une des motivations géopolitique et géoéconomique est la prédation des données de secret d’entreprise à des fins d’espionnage économique. Une attaque sur un membre de la chaîne d’approvisionnement offre une surface d’attaque sur le reste de la supply chain permettant ainsi potentiellement à un acteur malveillant étranger d’obtenir des secrets industriels clés de la filière. Attaquer un fournisseur offre plusieurs vecteurs d’attaque : se faire passer pour ce dernier dans les communications à des fins d’espionnage industriel, utiliser de potentiels droits d’authentification sur des serveurs ou encore piller le savoir-faire techno-industriel déjà important de ce fournisseur. L’utilisation d’attaque par « porte dérobée », offrant un accès non autorisé au SI et permettant de contourner les procédures d’authentification normale permet un accès au SI à distance sans être facilement détectable.
La politique chinoise du Made in China 2025, qui vise à transformer la Chine en leader technologique mondial, pousse cette dernière à lancer des attaques sur de nombreuses entreprises technologiques européennes et américaines. Ce programme Made in China 2025 a été lancé en 2015 par le gouvernement chinois et appelle la Chine à dominer les technologies dans 10 secteurs d’ici 2025, dont l’aéronautique et l’aérospatiale font partie. Le programme appelle à la création de « champions nationaux capables de s’imposer comme des acteurs incontournables à l’international ». Il continue également la tactique d’investissement direct à l’étranger pour acquérir des technologies stratégiques pour la domination technologique dans ces 10 secteurs. C’est donc par ces méthodes que la Chine tente de développer son industrie aéronautique et notamment le COMAC C919. Les cyberattaques font partie intégrante de l’arsenal chinois et sont même un outil majeur dans la guerre économique. Le secteur aéronautique n’y échappe pas, comme en témoignent les attaques répétées subies par Airbus en provenance de la Chine. Dans le cadre de ces cyberattaques, la Chine a visé entre autres le groupe français de conseil en technologie Expleo et Rolls-Royce, fabricant britannique des moteurs d’Airbus. Dans le cas d’Expleo, l’objectif de viser Airbus est clair car l’attaque, en date de 2018, a ciblé le VPN qui connecte l’entreprise à Airbus.
Les acteurs de la menace – le développement d’une supply chain concurrente
Cette stratégie permet dans un second temps le développement d’une filière aéronautique nationale, soutenue par une supply chain également nationale et complètement contrôlée par le pays. La conséquence logique est donc l’apparition d’une filière concurrente à tous les points de la chaîne d’approvisionnement. Dans le cas chinois présenté ci-dessus, l’objectif du développement d’un concurrent à Airbus et Boeing, COMAC, est un échec. La filière aéronautique européenne se porte très bien, comme le prouve les récents chiffres des ventes d’Airbus. On ne voit donc pas le développement pour l’instant d’une chaîne d’approvisionnement aéronautique concurrente chinoise ainsi que d’un champion aéronautique d’envergure international. Cependant, la série de cyberattaques contre Airbus démontre que la Chine avait bien pour objectif de développer sa propre filière, particulièrement au vu des cibles visées (fabricant de moteurs critiques notamment). Ces attaques sont intervenues dans un contexte où la Chine ne parvenait à assurer la certification de ses avions développés nationalement et accusait des retards dans le développement et la production du C919. L’existence du JSSD, une émanation du ministère chinois de la sécurité de l’État, dont la branche régionale située dans le Jiangsu est spécialisée dans l’aéronautique, démontre également cette politique chinoise de cyberattaques contre cette filière stratégique. C’est elle qui a été désignée comme responsable des cyberattaques contre Airbus et d’autres acteurs non-chinois qui sont impliqués dans la production du C919.
Les acteurs de la menace – motivations et impacts
Le tableau suivant résume en trois catégories les motivations des menaces pour cinq exemples reprenant les objectifs évoqués ci-dessus. On note que les demandes financières restent importantes mais que les objectifs géoéconomiques et géopolitiques ont une certaine ampleur, particulièrement pour la Chine.
Réalisée par Alexis Szelag, à partir d’informations compilées sur des cyberattaques chinoises menées par « Turbine Panda » pour le développement d’une industrie aéronautique nationale chinoise et des cyberattaques contre Asco Industries, Satys Aerospace (membre du programme AirCyber), Japan Airlines et l’Aéroport de Kiev.
Ces cyberattaques ont toutes des conséquences en cas de succès sur l’entreprise visée : financière (en 2023, l’ANSSI a traité 143 attaques par rançongiciels), juridiques (longueur et coût des procédures judiciaires), logistiques (arrêt ou retard de la production), sur l’image de l’entreprise, sur le savoir-faire techno-industriel de l’entreprise et sur les employés (chômage technique, licenciements). Parmi ces conséquences, la plus importante du point géopolitique et géoéconomique reste celle sur le savoir-faire techno-industrielle. Les nombreuses occurrences de cyberattaques chinoises sur la supply chain aéronautique présentent cette conséquence principale. La prédation de ce type de données est le principal chemin utilisé par la Chine pour assurer le développement d’une filière souveraine nationale. L’exemple de COMAC ci-dessous démontre que les impacts sont majeurs et touchent l’entreprise visée mais particulièrement la chaîne d’approvisionnement.
Réalisée par Alexis Szelag avec les mêmes sources que dans le tableau ci-dessus – chaque cyberattaque répertoriée présente une série de conséquences – les impacts logistiques sur la supply chain sont les plus représentés
L’initiative AirCyber, la protection cyber des entreprises de la supply chain aéronautique
Le programme AirCyber présente une matrice de risque efficace pour comprendre le degré de risque qui pèse sur une entreprise de la supply chain aéronautique. Si on reprend le cas de la Chine et d’Airbus traité ici, elle permet de démontrer que les cyberattaques sur la chaîne d’approvisionnement,sont particulièrement dangereuses à long-terme. La probabilité d’une cyberattaque chinoise sur la filière est maximale puisqu’elle a été avérée à plusieurs reprises : 2018-2019 contre Airbus et les autres grands acteurs aéronautiques français.
L’impact de ces attaques répétées est fort, voire majeur puisque la remontée de la supply chain opérée par la Chine permet le développement d’une chaîne de production chinoise nationale sous le contrôle direct du gouvernement. La Chine peut ensuite utiliser des méthodes de guerre économique qu’elle a utilisées par le passé, à savoir étouffer la concurrence américaine et européenne en pratiquant des prix artificiellement bas pour s’emparer des parts de marché des entreprises concurrentes. C’est cette politique qu’elle a utilisé dans le cadre de l’acier, comme reconnu par l’Union Européenne. À long-terme, la remontée de la chaîne d’approvisionnement offre à la Chine la possibilité de prendre des parts du marché de l’aéronautique à ses concurrents européens et américains qui dominent encore le marché. Les prix sont maintenus en deçà des prix de production et du marché à travers des subventions déguisées et le non-respect des règles commerciales internationales : c’est du dumping commercial dont la Chine a été sanctionnée récemment pour l’industrie automobile électrique par l’UE. La matrice de risque proposée par AirCyber place ainsi clairement le degré de risque à un niveau très élevé.
Par Alexis Szelag en utilisant la matrice de risque proposée dans le livre blanc sur AirCyber
Les États et l’Union Européenne sont actifs pour pousser à une plus grande sécurité cyber des entreprises. Les partenaires de la production aéronautique et aérospatiale doivent composer avec un cadre cyber juridique en pleine mutation afin de monter en niveau. La norme internationale de référence est l’ISO 27001 qui « définit une méthodologie pour identifier les cybermenaces, maîtriser les risques associés aux informations cruciales de votre organisation, mettre en place les mesures de protection appropriées afin d’assurer la confidentialité, la disponibilité et l’intégrité de l’information ». L’ANSSI et la CNIL sont les sources des règles applicables au niveau national. Au niveau européen, la directive NIS2 appelle les donneurs d’ordre en tête de la chaîne d’approvisionnement à pousser à l’harmonisation cyber de cette dernière. Elle pousse également les dirigeants à s’acculturer aux menaces cyber. Une non-conformité implique une éjection de la chaîne d’approvisionnement afin de ne pas mettre en danger ses autres membres. Le règlement (UE) n°2015/1998, amendé en 2019, fixe également les normes de base commune en matière de sûreté, qui vise à sécuriser les systèmes d’information contribuant à la sûreté de l’aviation civile. Les fournisseurs de la chaîne d’approvisionnement peuvent compter en France sur un accompagnement de différentes institutions. Au niveau national, l’ANSSI offre des guides complets pour augmenter la résilience des entreprises. Au niveau régional, des organisations peuvent se mettre en place dans le même objectif : c’est la raison d’être de Cyber’Occ, l’équivalent du Campus Cyber de la Défense en Occitanie.
BoostAeroSpace est né de toutes ces considérations. A travers son programme AirCyber, et ses trois certifications (Gold, Silver et Bronze), elle pousse à la sécurisation de la chaîne d’approvisionnement par la montée en résilience de toutes les entreprises qui la constitue. Le « référentiel commun progressif » qu’il offre profite à toutes les entreprises impliquées. Il permet aux donneurs d’ordre finaux d’obtenir des gages de sécurité face à toutes les menaces auxquels ils doivent faire face en provenance de leur chaîne d’approvisionnement.
AirCyber propose des solutions concrètes, notamment des campagnes de sensibilisation menées avec des entreprises externes spécialisées pour changer les habitudes des employés et collaborateurs. Ces derniers doivent développer une culture cyber solide et s’investir dans la protection de leur entreprise. Les conséquences financières et menaces à long-terme d’une prédation des secrets industriels doit faire évoluer les budgets cybersécurité à la hausse. Il est essentiel d’expliquer ces enjeux pour renforcer la résilience des entreprises. Les campagnes doivent aussi souligner la criticité de toutes les données, qu’elles soient financières ou autres. Identifier les vulnérabilités et le patrimoine informationnel permet d’adapter la sécurité des systèmes d’information et de mieux protéger les fournisseurs contre les menaces externes. Pour en savoir plus, le livre blanc L’entraide et la collaboration au service de la cybersécurité de la supply chain aérospatiale & défense réalisé par BoostAeroSpace (en partenariat avec SopraSteria) évalue le programme AirCyber depuis son lancement en 2019 jusqu’à l’année de parution en 2023.
Alexis Szelag pour le Club Cyber de l’AEGE et Aroll Odunlami consultant Sécurité de l’information – Manager, chez Advens
Pour aller plus loin :