Les PME et TPI de la supply chain, encore parents pauvres de la cybersécurité
Les 19e Assises de la sécurité et des systèmes d’information, qui se sont tenues du 9 au 12 octobre à Monaco, closent une année 2019 marquée notamment par deux, voire trois, attaques sur Airbus, toutes menées à partir des sous-traitants ou fournisseurs de l’avionneur, plus vulnérables que les grands groupes. Une nouvelle tendance qui inquiète Guillaume Poupard, de l’Agence française de la cybersécurité (Anssi), qui souhaite des solutions technologiques adaptées à ces petits acteurs industriels.
« A force de sécuriser les grands groupes, les attaquants passent par les fournisseurs ou les sous-traitants qui ont un accès privilégié à leurs systèmes d’information ». Le constat de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), aux Assises de la sécurité, à Monaco, ne fait plus aucun doute : les attaques par rebond sont l’une des tendances en cybercriminalité ces derniers mois.
Airbus en est l’illustration la plus frappante. En janvier 2019, Expleo (ex-Assystem), une société de conseil qui travaille notamment avec le géant français de l’aéronautique, a été le vecteur d’une attaque visant les données personnelles des salariés d’Airbus. En juin, c’était Asco, fournisseur belge de l’avionneur, qui faisait les frais du ransomware Lockergoga.
Nouvelle tendance : voler les process plutôt que le savoir-faire
Il semblerait qu’une troisième attaque ait visé Airbus cette année via un sous-traitant, ciblant cette fois-ci des documents de certification. Le nouveau Graal pour les cybercriminels, juge David Grout, directeur technique de FireEye, une société qui analyse les cyber-attaques. « Les attaquants sont de moins en moins intéressés par la propriété intellectuelle liée au savoir-faire mais de plus en plus par les données permettant de reproduire le processus de fabrication et la certification, détaille-t-il. On pense que l’Etat chinois, notamment, a déjà copié le savoir-faire de nos industriels et que la prochaine étape est de faire certifier ses produits pour les exporter sur d’autres marchés, comme le marché européen. »
Le groupe cybercriminels APT10, relié à la Chine selon FireEye, est régulièrement cité comme à l’origine des attaques sur Airbus. David Grout ne peut confirmer l’information mais assure : « APT10 a été actif en France récemment. » Ce groupe est spécialisé dans les attaques sur les tierces parties, avec un objectif : atteindre un géant en infectant les partenaires de sa supply chain, dont les réseaux sont moins sécurisés. « Les grands groupes vont devoir se méfier de plus en plus de leurs sous-traitants », prévient Guillaume Poupard.
Un manque de produits de cybersécurité adaptés aux PME
Quatre géants français de l’aéronautique l’ont bien compris. Airbus, Thales, Dassault et Safran ont lancé AirCyber en janvier 2019 via BoostAerospace, la coentreprise qu’ils ont créé en 2011. L’ambition de ce programme : que les TPE-PME du tissu aéronautique adoptent les solutions de cybersécurité souscrites ou développées par les grands comptes.
Néanmoins, la collaboration entre grands et petits ne suffit pas : selon Guillaume Poupard, le véritable problème est que les PME ne disposent pas encore de « produits adaptés » à leur porte-monnaie et à leurs ressources humaines. Et le DG de l’Anssi est encore plus inquiet pour les entreprises de taille intermédiaire : « Pour les PME, le cloud pourra résoudre certains problèmes, a-t-il concédé aux Asssies. Mais pour les ETI, c’est plus compliqué, car elles ne sont pas suffisamment grandes pour leur imposer des obligations comme pour les OIV (opérateurs d’importance vitale) ou OSE (opérateurs de service essentiel) et pas suffisamment petites pour ne pas avoir une sécurité robuste et dédiée. »
Vers une régulation des prestataires ?
S’il refuse de commenter les attaques qui ont touché Airbus cette année, Frédéric Julhes, directeur d’Airbus Cybersecurity France – à la fois filiale d’Airbus et pourvoyeur de solutions de cybersécurité pour l’avionneur et pour d’autres sociétés – admet volontiers que son entreprise « ne fait pas beaucoup de propositions pour les PME » mais développe plutôt des solutions pour les grands groupes. En atteste la toute nouvelle solution commune à destination des OIV – intégrant l’analyseur de fichiers d’Airbus Cybersecurity, Orion Malware, et la sonde de Thales – annoncée le 9 octobre à l’occasion des Assises. Ce type de solutions peut atteindre des centaines de milliers d’euros et n’est pas du tout abordable pour une PME ou une ETI.
En attendant que des solutions de cybersécurité efficaces, légères et bon marché émergent, l’Anssi a choisi de certifier les fournisseurs et sous-traitants de la supply chain. Bientôt, ces derniers pourront aspirer à devenir des prestataires d’administration et de maintenance sécurisées (Pams) s’ils ont atteint un certain niveau de cybersécurité. « Nous aurons un premier rapport d’étape à Noël », précise Guillaume Poupard. Quant à savoir si l’Agence compte, un jour, les y contraindre par la loi, elles ou les donneurs d’ordres, son directeur général botte en touche : « Il n’y a pas une solution magique », s’est-il contenté de répondre. Frédéric Julhes, de son côté, semble plus ouvert à l’idée : « La sécurisation des sous-traitants est un enjeu global, qui mérite l’attention de tout le monde, y compris de l’Etat. On peut envisager des règlements pour hausser le niveau de sécurité de la supply chain. »
Sélectionné pour vous
SUR LE MÊME SUJET
- "Les industriels doivent tenir compte du risque cyber lorsqu'ils testent la 5G", alerte Téodor Chabin, responsable sécurité d'un groupe français
- Cybersécurité : à Monaco, des Assises sous le signe de la détection des menaces
- Romain Bottan (BoostAerospace) : « Les PME aéronautiques doivent être aidées pour se protéger des cyberattaques »
- La filière aéronautique normande s’associe à AirCyber, le dispositif de cyber-protection de BoostAerospace
