CGiHeart - stock.adobe.com

Comment le secteur aéronautique a sécurisé sa chaîne logistique

Le risque d’attaque sur la chaîne logistique complexe de l’aéronautique est une réalité du quotidien. L’écosystème a pris une certaine avance, mais travaille encore à augmenter la maturité cyber de ses maillons les plus faibles, les PME/TPE.

La filière aéronautique pèse lourd dans l’économie française et constitue le premier contributeur à notre balance commerciale. De ce fait, ses acteurs sont la cible d’une intense activité cyber, que ce soit à des fins d’espionnage industriel, d’extorsion ou simplement pour immobiliser l’activité des sous-traitants et faire chuter la production de son donneur d’ordre. 

Une conférence réunissait quelques-uns des acteurs de cette chaîne logistique aéronautique lors du salon Cyber Show Paris 2025.

« Les grosses entités propagent un certain nombre d’obligations à leurs fournisseurs. Depuis quelques années, la cybersécurité s’est invitée dans les contrats. »
Eric VautierGroup CISO de Groupe ADP

Eric Vautier, Group CISO de Groupe ADP, l’un des grands donneurs d’ordres du secteur, a rappelé le rôle de ces acteurs vis-à-vis de ses nombreux sous-traitants : « les grosses entités propagent un certain nombre d’obligations à leurs fournisseurs. Depuis quelques années, la cybersécurité s’est invitée dans les contrats. Sous l’impulsion de l’[Agence nationale de la sécurité des systèmes d’information (Anssi)], depuis près de quinze ans, les grandes entreprises ont engagé des démarches lourdes et structurantes pour sécuriser leurs activités, mais aussi embarquer tout leur écosystème. Ces grands acteurs devaient jouer le rôle de locomotive pour transmettre la bonne parole de l’Anssi, mais aussi créer une masse critique dans l’écosystème des fournisseurs ».

La médiatisation de certaines attaques sur la chaîne logistique d’Airbus est venue renforcer le caractère urgent de faire monter en maturité tous les acteurs de l’écosystème. En 2019, le motoriste Rolls-Royce et Expleo (ex-ASystem), sous-traitant d’Airbus, avaient été ciblés par la Chine, pour, selon l’AFP, des raisons d’espionnage industriel. En 2024, c’était le cas de Satys, un autre sous-traitant d’Airbus, ou encore Airbus lui-même via l’identité numérique d’un ancien employé de la compagnie Turkish Airlines…

Le rôle pivot de BoostAeroSpace en France

Pour porter cet effort, la structure BoostAeroSpace a été créée en 2011 par Airbus, Dassault Aviation, Safran et Thales, sous l’impulsion de l’Anssi et des instances gouvernementales. Romain Bottan, CISO de BoostAeroSpace, explique le rôle joué par cette structure : « nous avons considéré qu’il était de notre responsabilité d’aider nos fournisseurs à augmenter leur maturité cyber et ainsi réduire les risques pesant sur nous, les donneurs d’ordre. Un fournisseur piraté peut perdre des données sensibles, puis WannaCry est arrivé en 2017, avec des fournisseurs qui étaient attaqués non plus pour voler des données, mais parce qu’ils n’étaient pas protégés, comme toute PME/TPE dans ce cas ».

Un programme d’accompagnement de tous les acteurs de cette chaîne logistique a été créé. Baptisé AirCyber, celui-ci consiste en un accompagnement des entreprises du secteur dans une certification à trois niveaux de maturité Bronze/Silver/Gold.

« Nous nous sommes basés sur le Guide de l’hygiène cyber de l’Anssi », explique Romain Bottan. « Le niveau Bronze correspond globalement aux 44 mesures basiques de ce guide, complétées de quelques mesures plus spécifiques au secteur. Le niveau Silver correspond aux 44 mesures en mode avancé avec une couverture de tous les chapitres de l’ISO 27001. Nous avons cherché les correspondances avec les ISO 27001 et 27002 et nous sommes en train de le faire avec le CMMC (Cybersecurity Maturity Model Certification) du Département de la Défense des États-Unis (DoD) et le DAkks allemand ».

« La cybersécurité est un sport d’équipe entre les clients et les fournisseurs et les équipes internes. Il est important d’embarquer les autres équipes dans ce projet et se donner un objectif commun. »
Henri de BordasRSSI Adjoint du groupe Daher

Parmi les bons élèves figure le groupe Daher, l’un des grands sous-traitants d’Airbus. Henri de Bordas, RSSI adjoint du groupe Daher, résume l’intérêt de s’engager dans une certification AirCyber : « nous sommes sous-traitants pour de grands donneurs d’ordres, et à ce titre, nous avons à répondre à un grand nombre de questionnaires de sécurité. Nous étions submergés par toutes ces demandes et ces audits et, au final, nous n’avions que peu de temps pour être proactifs et réellement monter en maturité sur la cyber… »

L’idée de pouvoir répondre à toutes ces demandes avec une seule et même certification reconnue par tous les acteurs du secteur était tentante. Il y a trois ans, le sous-traitant a pris le taureau par les cornes, a triplé son effectif cyber et s’est engagé dans une démarche de certification AirCyber et ISO 27001. Au-delà de ce succès, Henri de Bordas souligne le fruit d’un « effet ciseau, avec d’une part l’action du GIFAS et de BoostAeroSpace auprès de notre direction, avec un effet Top/Down. Dans l’autre sens, nous nous sommes livrés à un état des lieux et à une analyse de risques EBIOS RM, qui a permis à la direction de leur faire prendre conscience des risques, avec les scénarios d’attaque d’un côté et une estimation de leur impact financier sur le groupe en face ».

Daher vient de décrocher un avis favorable pour l’ISO 27001 et espère atteindre le niveau Silver d’AirCyber dès le mois de février 2025, avec le niveau Gold espéré pour l’an prochain ou dans 2 ans. « L’approche AirCyber est très différente de celle de l’ISO 27001. Air Cyber porte sur des actions très spécifiques et pertinentes, avec de petits projets à mener qui sont faciles à mettre en place et qui permettent de témoigner des progrès réalisés » ajoute Henri de Bordas.

Eric Vautier confirme l’intérêt de ce travail pour n’aboutir qu’à un seul questionnaire commun : « pour le fournisseur d’Airbus, Dassault, Safran ou Thales ou nous, ADP avec les compagnies aériennes, on se retrouve avec de multiples questionnaires à remplir. L’intérêt de ce travail commun est de ne plus avoir qu’un seul questionnaire. Il est valable pour tous les donneurs d’ordre et nous cherchons maintenant à le faire reconnaître à l’étranger pour éviter que le fournisseur ait encore un autre questionnaire à remplir s’il veut travailler pour Boeing, par exemple ».

Romain Bottan précise que BoostAeroSpace n’a pas cherché à imposer AirCyber à l’ensemble de l’écosystème. Il s’agissait dans un premier temps d’inciter les sous-traitants à entreprendre la démarche : « aujourd’hui, nous commençons à imposer le niveau AirCyber Bronze à certains. Cela permet aux entreprises de mettre en place un plan d’action, d’avoir un expert sécurité qui vient sur site pour évaluer leur maturité. Ce sont eux qui doivent choisir les actions à mener, trouver des prestataires pour le faire ».

Le rôle de BoostAeroSpace est d’accompagner les sous-traitants avec des listes de partenaires pour les aider à déployer leur plan d’action de cybersécurité, mais le groupement n’intervient pas directement chez le fournisseur en cas de crise cyber. « Le programme a 4 ans d’existence et nous avons aidé 380 entreprises. Nous étions dans un mode subventionné la première année via le plan France Relance, puis les entreprises doivent renouveler leur adhésion », explique Romain Bottan.

Le programme compte actuellement 280 adhérents, dont 90 % d’entreprises françaises. AirCyber a été validé en 2023 par le groupe de travail cyber sécurité Supply Chain de l’AISAC comme le référentiel unique, ajoutant les donneurs d’ordres outre-Atlantique, les aéroports et les compagnies aériennes à la liste des entreprises reconnaissant AirCyber. 

BoostAeroSpace travaille pour sa part avec l’Afnor afin de l’intégrer à une norme en préparation et faire qu’AirCyber soit aussi reconnu dans les autres secteurs d’activité.

Un CERT commun pour partager des informations

Outre l’aspect structurant de certifications communes, le secteur aéronautique s’est doté d’un CERT commun pour accélérer les échanges d’information sur les menaces entre ses acteurs.

Marion Buchet, responsable du CERT Aviation, souligne ainsi que « l’aéronautique est un secteur extrêmement bien organisé et “processé”. Regroupés au sein d’un Think Tank, le Conseil pour la cybersécurité du transport aérien (CCTA), les gros acteurs ont souhaité mettre en place un centre de ressources pour toutes les entreprises du secteur, afin de les aider à se protéger et les accompagner en cas de problème, en faisant en sorte que tout le monde se connaisse et partage ».

« Il n’est pas facile pour un sous-traitant de juger de son niveau de cybersécurité. Cela reste une discipline très technique et les chefs d’entreprise ont des ressources limitées. »
Marion BuchetResponsable du CERT Aviation.

La responsable ajoute que le CERT est impartial et indépendant vis-à-vis des fournisseurs de technologies et de services : « nous sommes une association de 1901. Il n’y a pas de fournisseurs chez nous et les membres qui échangent dans le CERT peuvent dire tout le bien ou le mal qu’ils pensent des solutions. Cette mutualisation permet de créer de la valeur pour nos membres. Ainsi, nous avons souscrit à un service de veille en vulnérabilité et tous les membres du CERT y ont accès gratuitement ».

Le CERT Aviation compte 50 membres. La structure ne compte que 2 personnes. Tous les matins à 8h45, cette petite équipe anime un briefing en ligne avec tous les membres qui veulent se connecter. Dans la première partie, le CERT donne des informations issues de ses différents canaux de veille avec des préavis d’attaque ou des menaces qui apparaissent dans son secteur. Ensuite, les membres peuvent échanger sur les événements qu’ils ont pu observer lors des 24 dernières heures : « c’est une approche qui est proche de ce que font les militaires ; chacun se tient au courant de ce qui a été observé. Cela permet de blacklister des IP repérées par d’autres, mais aussi de signaler de possibles opérations de phishing impliquant les adresses de l’un des membres », observe Marion Buchet.

Outre cette activité de veille sur la menace, le CERT cherche à aider les acteurs de la chaîne logistique sur le secteur à se protéger via des actions de formation, et à faire face à une attaque. Un contrat a été signé avec un spécialiste de la remédiation pour intervenir en cas d’attaque sur l’un des membres. « L’objectif final est de rendre les sous-traitants de la filière autonomes vis-à-vis du risque cyber. Soit nous produisons ces services en interne, soit nous nous appuyons sur des prestataires sélectionnés, soit nous nous appuyons sur la solidarité entre les membres qui peuvent apporter des réponses aux questions susceptibles d’émerger », détaille la responsable.

Enfin, Marion Buchet cherche à rapprocher le CERT Aviation des CERT d’autres secteurs, avec par exemple une formation OSINT (renseignement en sources ouvertes) qui va être partagée avec le CERT maritime..

Propos recueillis lors du salon Cyber Show Paris 2025.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)