La cybermenace et le transport aérien
La recherche d’une plus grande efficacité du transport aérien et la demande accrue des passagers d’accéder à de nouveaux services ont été rendues possibles par une large connectivité grâce à la numérisation croissante du monde de l’aviation. Mais cette connectivité risque d’affecter la sécurité des vols. Les risques liés aux cyberattaques ont considérablement évolué ces dernières années. L’AAE s’est penchée sur ce sujet afin de faire le point sur ces risques : quelles sont ses recommandations ?
Le groupe de travail de l’Académie de l’air et de l’espace (AAE) a centré sa réflexion sur le sujet suivant : des cyber-attaques peuvent causer des accidents ou créer des incidents graves qui mettront en danger les passagers et équipages. Comment en réduire les risques d’occurrence et prévenir leurs conséquences ?
Des acteurs nombreux et connectés
Le monde du transport aérien forme un « système de système » composé d’éléments variés : avions commerciaux, organismes de contrôle de la circulation aérienne, aéroports, centres de contrôle opérationnel des compagnies aériennes, usines de construction aéronautique, motoristes, équipementiers, entreprises de maintenance aéronautique, réseaux de radiocommunications terrestres et satellitaires, moyens de radionavigation terrestres et satellitaires, moyens de surveillance. Tous ces acteurs sont de plus en plus connectés et échangent entre eux des données essentiellement numériques. Ils sont également reliés à Internet et à des Clouds. Des personnes interviennent constamment dans ces échanges : équipages – contrôleurs aériens – agents des centres d’opérations des compagnies et des aéroports – fournisseurs de liaisons et de données – réparateurs… Autant de risques d’introduire des failles potentielles utilisables par des cyberattaquants.
Les vulnérabilités du transport aérien
Il convient de traiter la cybersécurité dans l’aviation civile commerciale avec une approche système et de cartographier les flux de données de bout en bout. L’analyse effectuée montre qu’il peut exister des vulnérabilités dans l’écosystème du transport aérien. On peut citer les points de vigilance suivants : les communications numériques entre le bord et le sol ; les équipements en cabine passagers participant au divertissement des passagers ; les équipements individuels (smartphones, tablettes, ordinateurs), qu’ils appartiennent aux passagers ou au personnel navigant ; les liaisons de données au sol, avion à la passerelle ou au roulage ; la chaîne de maintenance des équipements.
Les attaques contre le transport aérien peuvent être par « déni de service » ou par brouillage, consistant à bloquer la réception des signaux. D’autres attaques possibles sur les liaisons de communication peuvent résulter du leurrage avec la transmission de fausses données, soit au sol, soit à bord des avions. Suivant la corruption de ces données, les conséquences peuvent être sérieuses si aucun moyen de vérification de la disponibilité, de l’authenticité, de l’intégrité, de la confidentialité et de la traçabilité des informations n’est prévu. Ces attaques peuvent aussi concerner les logiciels opérationnels, à bord ou au sol. La présence de codes malveillants programmés pour déclencher des actions nocives à un certain moment est évidemment une menace importante.
“L’avion et son équipage doivent être capables d’être autonomes,
tout en étant à la fois connectés et cyber-résilients.”
Gestion des risques
L’aviation civile est de plus en plus connectée grâce aux moyens de communication modernes (Internet, etc.) qui permettent des débits élevés pour les passagers et pour les équipages. Les systèmes au sol sont également de plus en plus connectés avec le développement des nouveaux systèmes de gestion du trafic aérien (SESAR en Europe et NextGen aux USA). Cette ouverture des systèmes augmente de manière significative les surfaces d’attaque du transport aérien. En conséquence, dans cette transformation numérique les modèles de sûreté et de sécurité doivent rapidement évoluer pour démontrer la prise en compte de la cybersécurité. L’avion et son équipage ne peuvent plus être « isolés » le temps du vol, mais doivent être capables d’être autonomes, tout en étant à la fois connectés et cyberrésilients.
Les cyberattaquants sont capables d’exploiter les failles dans les défenses fixes des systèmes, incluant les pare-feux (firewalls) et autres protections. Une protection physique, sans communication filaire ou radio, n’est plus possible dans un monde digitalisé et connecté. Cependant, quelques mesures assez simples peuvent permettre de ralentir la plupart des attaquants.
Une entité coordinatrice de haut niveau doit faire appliquer à tous les acteurs une politique de sécurité définie au préalable. En effet, quand des modes opératoires de défense sont effectivement utilisés, il faut que les responsabilités soient claires à tout moment entre les acteurs. Dans les actions de défense, il faut bien distinguer : la connaissance des chemins d’entrée des attaques ; la surveillance, pour détecter et identifier rapidement attaquants et attaques ; les mises à jour des systèmes attaqués par des correctifs de logiciel (patches) ; et les actions de parade, elles-mêmes, incluant l’annihilation des attaques et de leurs conséquences.
Ces actions de défense ont des répercussions sur l’organisation et la gestion des systèmes, et nécessitent la mise en place de ressources humaines dignes de confiance et compétentes dans les dernières technologies, incluant des hackers professionnels inventifs, et collaborant au mieux avec leurs collègues des organismes de cybersécurité des pays amis.
Quelques recommandations
In fine, l’AAE exprime quatorze recommandations. Parmi ces quatorze recommandations, trois ont été classées « essentielles » :
Recommandation R11 : Tous les acteurs certifiés du transport aérien doivent avoir l’obligation de déclaration, de partage, puis de traitement systématique des cyber-incidents.
Recommandation R12 : Il est urgent de développer un cadre réglementaire mondial et harmonisé de la cybersécurité de l’aviation.
Recommandation R14 : L’Organisation de l’aviation civile internationale doit être leader et coordonner au niveau mondial toutes les activités contribuant à renforcer la cybersécurité dans l’aviation civile.
Pour lire le dossier complet de l’AAE en ligne : https://academieairespace.com/publications/les-dossiers/dossier-n-45-cybermenaces-visant-le-transport-aerien/