La cybermenace et le transport aérien

La cybermenace et le transport aérien

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Thierry PRUNIER
Par Raymond ROSSO (67)

La recherche d’une plus grande effi­ca­ci­té du trans­port aérien et la demande accrue des pas­sa­gers d’accéder à de nou­veaux ser­vices ont été ren­dues pos­sibles par une large connec­ti­vi­té grâce à la numé­ri­sa­tion crois­sante du monde de l’aviation. Mais cette connec­ti­vi­té risque d’affecter la sécu­ri­té des vols. Les risques liés aux cybe­rat­taques ont consi­dé­ra­ble­ment évo­lué ces der­nières années. L’AAE s’est pen­chée sur ce sujet afin de faire le point sur ces risques : quelles sont ses recommandations ?

Le groupe de tra­vail de l’Académie de l’air et de l’espace (AAE) a cen­tré sa réflexion sur le sujet sui­vant : des cyber-attaques peuvent cau­ser des acci­dents ou créer des inci­dents graves qui met­tront en dan­ger les pas­sa­gers et équi­pages. Com­ment en réduire les risques d’occurrence et pré­ve­nir leurs conséquences ?

Des acteurs nombreux et connectés

Le monde du trans­port aérien forme un « sys­tème de sys­tème » com­po­sé d’éléments variés : avions commer­ciaux, orga­nismes de contrôle de la cir­cu­la­tion aérienne, aéro­ports, centres de contrôle opé­ra­tion­nel des com­pa­gnies aériennes, usines de construc­tion aéro­nau­tique, moto­ristes, équi­pe­men­tiers, entre­prises de main­te­nance aéro­nau­tique, réseaux de radio­communications ter­restres et satel­li­taires, moyens de radio­na­vi­ga­tion ter­restres et satel­li­taires, moyens de sur­veillance. Tous ces acteurs sont de plus en plus connec­tés et échangent entre eux des don­nées essen­tiel­le­ment numé­riques. Ils sont éga­le­ment reliés à Inter­net et à des Clouds. Des per­sonnes inter­viennent constam­ment dans ces échanges : équi­pages – contrô­leurs aériens – agents des centres d’opérations des com­pa­gnies et des aéro­ports – four­nis­seurs de liai­sons et de don­nées – répa­ra­teurs… Autant de risques d’introduire des failles poten­tielles uti­li­sables par des cyberattaquants.

Les vulnérabilités du transport aérien

Il convient de trai­ter la cyber­sé­cu­ri­té dans l’aviation civile com­mer­ciale avec une approche sys­tème et de car­to­gra­phier les flux de don­nées de bout en bout. L’analyse effec­tuée montre qu’il peut exis­ter des vul­né­ra­bi­li­tés dans l’écosystème du trans­port aérien. On peut citer les points de vigi­lance sui­vants : les com­mu­ni­ca­tions numé­riques entre le bord et le sol ; les équi­pe­ments en cabine pas­sa­gers par­ti­ci­pant au diver­tis­se­ment des pas­sa­gers ; les équi­pe­ments indi­vi­duels (smart­phones, tablettes, ordi­na­teurs), qu’ils appar­tiennent aux pas­sa­gers ou au per­son­nel navi­gant ; les liai­sons de don­nées au sol, avion à la pas­se­relle ou au rou­lage ; la chaîne de main­te­nance des équipements.

Les attaques contre le trans­port aérien peuvent être par « déni de ser­vice » ou par brouillage, consis­tant à blo­quer la récep­tion des signaux. D’autres attaques pos­sibles sur les liai­sons de com­mu­ni­ca­tion peuvent résul­ter du leur­rage avec la trans­mis­sion de fausses don­nées, soit au sol, soit à bord des avions. Sui­vant la cor­rup­tion de ces don­nées, les consé­quences peuvent être sérieuses si aucun moyen de véri­fi­ca­tion de la dis­po­ni­bi­li­té, de l’authenticité, de l’intégrité, de la confi­den­tia­li­té et de la tra­ça­bi­li­té des infor­ma­tions n’est pré­vu. Ces attaques peuvent aus­si concer­ner les logi­ciels opé­ra­tion­nels, à bord ou au sol. La pré­sence de codes mal­veillants pro­gram­més pour déclen­cher des actions nocives à un cer­tain moment est évi­dem­ment une menace importante.

“L’avion et son équipage doivent être capables d’être autonomes,
tout en étant à la fois connectés et cyber-résilients.”

Gestion des risques

L’aviation civile est de plus en plus connec­tée grâce aux moyens de com­mu­ni­ca­tion modernes (Inter­net, etc.) qui per­mettent des débits éle­vés pour les pas­sa­gers et pour les équi­pages. Les sys­tèmes au sol sont éga­le­ment de plus en plus connec­tés avec le déve­lop­pe­ment des nou­veaux sys­tèmes de ges­tion du tra­fic aérien (SESAR en Europe et Next­Gen aux USA). Cette ouver­ture des sys­tèmes aug­mente de manière signi­fi­ca­tive les sur­faces d’attaque du trans­port aérien. En consé­quence, dans cette trans­for­ma­tion numé­rique les modèles de sûre­té et de sécu­ri­té doivent rapi­de­ment évo­luer pour démon­trer la prise en compte de la cyber­sé­cu­ri­té. L’avion et son équi­page ne peuvent plus être « iso­lés » le temps du vol, mais doivent être capables d’être auto­nomes, tout en étant à la fois connec­tés et cyberrésilients.

Les cybe­rat­ta­quants sont capables d’exploiter les failles dans les défenses fixes des sys­tèmes, incluant les pare-feux (fire­walls) et autres pro­tec­tions. Une pro­tec­tion phy­sique, sans com­mu­ni­ca­tion filaire ou radio, n’est plus pos­sible dans un monde digi­ta­li­sé et connec­té. Cepen­dant, quelques mesures assez simples peuvent per­mettre de ralen­tir la plu­part des attaquants.

Une enti­té coor­di­na­trice de haut niveau doit faire appli­quer à tous les acteurs une poli­tique de sécu­ri­té défi­nie au préa­lable. En effet, quand des modes opé­ra­toires de défense sont effec­ti­ve­ment uti­li­sés, il faut que les res­pon­sa­bi­li­tés soient claires à tout moment entre les acteurs. Dans les actions de défense, il faut bien dis­tin­guer : la connais­sance des che­mins d’entrée des attaques ; la sur­veillance, pour détec­ter et iden­ti­fier rapi­de­ment atta­quants et attaques ; les mises à jour des sys­tèmes atta­qués par des cor­rec­tifs de logi­ciel (patches) ; et les actions de parade, elles-mêmes, incluant l’annihilation des attaques et de leurs conséquences.

Ces actions de défense ont des réper­cus­sions sur l’organisation et la ges­tion des sys­tèmes, et néces­sitent la mise en place de res­sources humaines dignes de confiance et com­pé­tentes dans les der­nières tech­no­lo­gies, incluant des hackers pro­fes­sion­nels inven­tifs, et col­la­bo­rant au mieux avec leurs col­lègues des orga­nismes de cyber­sé­cu­ri­té des pays amis.

Quelques recommandations

In fine, l’AAE exprime qua­torze recom­man­da­tions. Par­mi ces qua­torze recom­man­da­tions, trois ont été clas­sées « essentielles » :

Recom­man­da­tion R11 : Tous les acteurs cer­ti­fiés du trans­port aérien doivent avoir l’obligation de décla­ra­tion, de par­tage, puis de trai­te­ment sys­té­ma­tique des cyber-incidents.

Recom­man­da­tion R12 : Il est urgent de déve­lop­per un cadre régle­men­taire mon­dial et har­mo­ni­sé de la cyber­sé­cu­ri­té de l’aviation.

Recom­man­da­tion R14 : L’Organisation de l’aviation civile inter­na­tio­nale doit être lea­der et coor­don­ner au niveau mon­dial toutes les acti­vi­tés contri­buant à ren­for­cer la cyber­sé­cu­ri­té dans l’aviation civile.


Pour lire le dos­sier com­plet de l’AAE en ligne : https://academieairespace.com/publications/les-dossiers/dossier-n-45-cybermenaces-visant-le-transport-aerien/

Poster un commentaire