ORNISEC, Leader de la cybersécurité du secteur aérien

Ayoub SABBAR

il y a 3 ans

Présentation d’ORNISEC,

ORNISEC est une entreprise leader dans le domaine de la cybersécurité du secteur aérien. Ses consultants, basés en France et au Maroc, collaborent avec les services informatiques et techniques des aéroports et compagnies aériennes afin de renforcer leur niveau de résilience en matière de cybersécurité et de respecter le cadre légal et réglementaire en matière de protection des infrastructures aériennes.

Avec plusieurs dizaines d’aéroport et compagnies aériennes accompagnés en France et à l’international, ORNISEC est forte d’une très grande expertise dans le secteur d’activité du transport aérien. Cette expertise lui permet de proposer un accompagnement pragmatique et sur mesure pour résoudre les défis de cybersécurité les plus complexes auxquels est confronté le secteur aérien aujourd’hui.

Introduction

Dans un contexte où les cyberattaques contre le secteur aérien ne cessent de s’accroître et les règlements sont en constante évolution, la cybersécurité devient une nécessité quasi vitale. Plus que jamais, les aéroports et les compagnies aériennes doivent considérer la cybersécurité comme un axe stratégie, nécessaire pour garantir la continuité des services d’exploitation opérationnelle.

Par son positionnement de leader du marché aérien, ORNISEC est un poste d’observation unique de ce qui se passe sur le terrain en matière de cybersécurité dans le secteur aérien. Cette observation a permis à ORNISEC de comprendre, de l’intérieur, les problématiques sécurité, les causes, les difficultés auxquels font face les aéroports aujourd’hui.

Constats : Les aéroports sont-ils aujourd’hui suffisamment protégés face aux cybermenaces ?

Très clairement non. Si la fonction de la sûreté est correctement appréhendée au sein des aéroports et des compagnies aériennes, car bien encadrée par des procédures, des réglementations et des contrôles, le constat est qu’en matière de cybersécurité la protection demeure largement perfectible. Nous constatons un décalage alarmant entre l’écosystème de la menace et le niveau de protection actuellement en place.

Les cyberattaques signalées ou identifiées par l’EATMCERT⁽¹⁾ d’Eurocontrol ont augmenté de 530 % entre 2019 et 2020.

Le secteur aérien est touché par une attaque de type ransomware chaque semaine⁽¹⁾

**Les attaques qui ont ciblé le secteur aérien entre 2019 et 2022⁽²⁾**

Analyse des causes :

De multiples causes peuvent expliquer le niveau de sécurité actuel, parmi lesquelles :

Manque de sponsoring de la direction générale :

De façon générale, les décideurs considèrent l’informatique et la cybersécurité comme des simples fonctions supports et non pas comme un axe stratégique. Les ressources allouées ne sont donc pas à la hauteur du niveau de menace.

Malgré les alertes et les cyberattaques diffusées dans les médias, les directeurs se sentent concernés par le sujet sans pour autant être réellement impliqués.

Absence des mesures de sécurité de base

Les opérateurs n’appliquant pas systématiquement les contrôles de sécurité informatique de base, ce qui les expose à des risques cybersécurité de plus en plus sophistiqués.

Ce qui compte le plus dans le secteur arien, c’est la production et l’exploitation, la cybersécurité n’est généralement pas une priorité.

Des composants vieillissants et obsolètes :

Les systèmes d’information et les solutions utilisés par les acteurs du secteur aérien sont généralement vieillissants et obsolètes. Certains systèmes sont en production depuis plus de 20 ans et aucune stratégie de mise à niveau n’est en place.

Manque d’expertise et de ressource

Les équipes informatiques sont généralement sous-dimensionnées pour gérer la charge de travail informatique et cybersécurité. Ajouter à cela, les aéroports n’ont pas toujours la possibilité d’avoir des experts cybersécurité en interne, faute de moyen et de la pénurie de ressource sur le marché.

Manque de sensibilisation

Le facteur humain n’est pas toujours correctement pris en considération dans les programmes sécurité.

Pourquoi il est nécessaire d’agir, aujourd’hui

Face à la multiplication des attaques, il est urgent d’agir ! Il en va de la sécurité et de la continuité des opérations aéroportuaires, mais c’est également une obligation légale en constante évolution et régit par l’AESA et l’OACI ; toute non-conformité pouvant entraîner des sanctions :

Sécuriser le système d’information (SI), une obligation réglementaire : le cadre légal et réglementaire est en constante évolution, plusieurs réglemente en vue le jour, notamment issu de l’AESA et de l’OACI. Toute non-conformité entraînera des sanctions et des non-conformités de sûreté
sécuriser le SI une nécessité quasi vitale pour garantir la sûreté : Les fonctions de sûretés du secteur aérien reposent en grande partie sur les systèmes informatiques, ainsi, une attaque informatique peut mettre à défaut les fonctions de sûreté et avoir des conséquences catastrophiques.
Sécuriser le SI pour faire face aux menaces étatiques : Nous constatons que les attaques frappent toujours plus fort, avec toujours plus de moyens. « Les conflits de demain vont être numériques, tous les grands États s’y préparent », comme le dit le directeur général de l’Anssi (Agence Nationale de la Sécurité des Systèmes d’Information)
Sécuriser le SI pour assurer la continuité des services : La plus grande menace de demain, c’est la cybercriminalité organisée. Plusieurs groupes se sont organisés pour attaquer des cibles, y compris les aéroports et les compagnies aériennes, en combinant fuite et chiffrement des données contre des rançons.

Quelles sont les bonnes pratiques à appliquer ?

La cybersécurité ne peut être efficace que si elle est impulsée par le top management afin qu’elle soit partie intégrante de la stratégie aéroportuaire.

Un cadre de gouvernance cybersécurité devra alors être mis en place pour faire face aux cyberattaques. Nous proposons pour cela un plan d’action sur 4 étapes :

Sponsoring de la direction générale : Considérer la cybersécurité comme un axe stratégique au niveau de la direction générale. Définir des objectifs SSI, mettre en place les moyens et ressources pour atteindre les objectifs, suivre les objectifs, contrôler et améliorer.
Nommer un chef d’orchestre : Comme pour la sûreté, la fonction cyber a besoin d’un responsable pour définir les objectifs, formaliser et garantir l’application d’une politique de sécurité, contrôler et améliorer les dispositifs mis en place
Définir et mettre en place un programme sécurité, pragmatique et adapté aux enjeux et au contexte de chaque acteur : Réaliser un état des lieux techniques et organisationnels, définir les objectifs cybersécurité en fonction des risques auxquels vous êtes exposés et aux règlements qui vous sont imposés, formaliser une feuille de route sur minimum 3 ans pour atteindre les objectifs fixés, allouer les ressources financières et humaines nécessaires pour dérouler la feuille de route, lancer la feuille de route et contrôler régulièrement son application, mettre en place une démarche d’amélioration continue.
Inculquer une culture cybersécurité à tous les niveaux en mettant en place un programme de sensibilisation périodique.

Le programme sécurité doit agir sur les trois fonctions de la SSI :

Protection : Anticiper les menaces et réduire les risques de compromission de vos infrastructures
Détection : Détecter rapidement et bloquer les cyberattaques sur vos infrastructures
Réaction : Réagir efficacement face à un incident, limiter les dégâts et assurer une continuité des services aéroportuaires

Comment pouvons-nous vous aider ?

Forte de son expertise dans la cybersécurité du secteur aérien, ORNISEC propose une offre complète pour vous assister tout au long de votre programme sécurité :

Assistance à la mise en place d’un cadre de gouvernance ;
Réalisation d’un état des lieux à travers des audits techniques et organisationnels sur vos infrastructures ;
Définition des objectifs SSI à travers des audits de conformités et des analyses des risques en fonction des contextes de chaque acteur ;
Élaboration des schémas directeurs et des feuilles de route ;
Assistant RSSI (Responsable de la Sécurité des systèmes d’Information) pour vous aider à piloter tous les sujets cybersécurité ;
Sensibilisation et formation de vos équipes sur les enjeux SSI : Sensibiliser, mais aussi éduquer et accompagner pour amener la cybersécurité à la portée de chaque équipe.

**Une offre complète en matière de sécurité des systèmes d’information**

Pourquoi choisir Ornisec ?

Ce sont nos clients qui en parlent le mieux a travers leurs témoignages :

Aéroport Montpellier Méditerranée : « Ornisec propose une expertise cybersécurité associée à une parfaite connaissance du milieu aéroportuaire ».

Aéroports de Montréal : « Très bonne expertise sécurité et milieu aéroportuaire. Recommandations pertinentes ».

Aéroport de Nantes : « Nous avons apprécié la collaboration avec ORNISEC durant l’audit 3CF (Cadre de la Conformité Cybersécurité en France). Sa bonne connaissance du secteur aéroportuaire et ses conseils avisés ont permis d’aboutir rapidement à un résultat de qualité. »