Les PME et TPI de la supply chain, encore parents pauvres de la cybersécurité

Les 19e Assises de la sécurité et des systèmes d’information, qui se sont tenues du 9 au 12 octobre à Monaco, closent une année 2019 marquée notamment par deux, voire trois, attaques sur Airbus, toutes menées à partir des sous-traitants ou fournisseurs de l’avionneur, plus vulnérables que les grands groupes. Une nouvelle tendance qui inquiète Guillaume Poupard, de l’Agence française de la cybersécurité (Anssi), qui souhaite des solutions technologiques adaptées à ces petits acteurs industriels.

Partager
Les PME et TPI de la supply chain, encore parents pauvres de la cybersécurité

« A force de sécuriser les grands groupes, les attaquants passent par les fournisseurs ou les sous-traitants qui ont un accès privilégié à leurs systèmes d’information ». Le constat de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), aux Assises de la sécurité, à Monaco, ne fait plus aucun doute : les attaques par rebond sont l’une des tendances en cybercriminalité ces derniers mois.

Airbus en est l’illustration la plus frappante. En janvier 2019, Expleo (ex-Assystem), une société de conseil qui travaille notamment avec le géant français de l’aéronautique, a été le vecteur d’une attaque visant les données personnelles des salariés d’Airbus. En juin, c’était Asco, fournisseur belge de l’avionneur, qui faisait les frais du ransomware Lockergoga.

Nouvelle tendance : voler les process plutôt que le savoir-faire

Il semblerait qu’une troisième attaque ait visé Airbus cette année via un sous-traitant, ciblant cette fois-ci des documents de certification. Le nouveau Graal pour les cybercriminels, juge David Grout, directeur technique de FireEye, une société qui analyse les cyber-attaques. « Les attaquants sont de moins en moins intéressés par la propriété intellectuelle liée au savoir-faire mais de plus en plus par les données permettant de reproduire le processus de fabrication et la certification, détaille-t-il. On pense que l’Etat chinois, notamment, a déjà copié le savoir-faire de nos industriels et que la prochaine étape est de faire certifier ses produits pour les exporter sur d’autres marchés, comme le marché européen. »

Le groupe cybercriminels APT10, relié à la Chine selon FireEye, est régulièrement cité comme à l’origine des attaques sur Airbus. David Grout ne peut confirmer l’information mais assure : « APT10 a été actif en France récemment. » Ce groupe est spécialisé dans les attaques sur les tierces parties, avec un objectif : atteindre un géant en infectant les partenaires de sa supply chain, dont les réseaux sont moins sécurisés. « Les grands groupes vont devoir se méfier de plus en plus de leurs sous-traitants », prévient Guillaume Poupard.

Un manque de produits de cybersécurité adaptés aux PME

Quatre géants français de l’aéronautique l’ont bien compris. Airbus, Thales, Dassault et Safran ont lancé AirCyber en janvier 2019 via BoostAerospace, la coentreprise qu’ils ont créé en 2011. L’ambition de ce programme : que les TPE-PME du tissu aéronautique adoptent les solutions de cybersécurité souscrites ou développées par les grands comptes.

Néanmoins, la collaboration entre grands et petits ne suffit pas : selon Guillaume Poupard, le véritable problème est que les PME ne disposent pas encore de « produits adaptés » à leur porte-monnaie et à leurs ressources humaines. Et le DG de l’Anssi est encore plus inquiet pour les entreprises de taille intermédiaire : « Pour les PME, le cloud pourra résoudre certains problèmes, a-t-il concédé aux Asssies. Mais pour les ETI, c’est plus compliqué, car elles ne sont pas suffisamment grandes pour leur imposer des obligations comme pour les OIV (opérateurs d’importance vitale) ou OSE (opérateurs de service essentiel) et pas suffisamment petites pour ne pas avoir une sécurité robuste et dédiée. »

Vers une régulation des prestataires ?

S’il refuse de commenter les attaques qui ont touché Airbus cette année, Frédéric Julhes, directeur d’Airbus Cybersecurity France – à la fois filiale d’Airbus et pourvoyeur de solutions de cybersécurité pour l’avionneur et pour d’autres sociétés – admet volontiers que son entreprise « ne fait pas beaucoup de propositions pour les PME » mais développe plutôt des solutions pour les grands groupes. En atteste la toute nouvelle solution commune à destination des OIV – intégrant l’analyseur de fichiers d’Airbus Cybersecurity, Orion Malware, et la sonde de Thales – annoncée le 9 octobre à l’occasion des Assises. Ce type de solutions peut atteindre des centaines de milliers d’euros et n’est pas du tout abordable pour une PME ou une ETI.

En attendant que des solutions de cybersécurité efficaces, légères et bon marché émergent, l’Anssi a choisi de certifier les fournisseurs et sous-traitants de la supply chain. Bientôt, ces derniers pourront aspirer à devenir des prestataires d’administration et de maintenance sécurisées (Pams) s’ils ont atteint un certain niveau de cybersécurité. « Nous aurons un premier rapport d’étape à Noël », précise Guillaume Poupard. Quant à savoir si l’Agence compte, un jour, les y contraindre par la loi, elles ou les donneurs d’ordres, son directeur général botte en touche : « Il n’y a pas une solution magique », s’est-il contenté de répondre. Frédéric Julhes, de son côté, semble plus ouvert à l’idée : « La sécurisation des sous-traitants est un enjeu global, qui mérite l’attention de tout le monde, y compris de l’Etat. On peut envisager des règlements pour hausser le niveau de sécurité de la supply chain. »

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Connecter start-up et grands groupes

Connecter start-up et grands groupes

Dans ce nouveau numéro du podcast Inspiration, Thomas Ollivier, fondateur du Maif Start-up Club, répond aux questions de Christophe Bys. 

Écouter cet épisode

Le théâtre engagé et populaire de Samuel Valensi

Le théâtre engagé et populaire de Samuel Valensi

Samuel Valensi est un jeune metteur en scène engagé. Passionné de théâtre, il a décidé de quitter les bancs d'HEC pour écrire et mettre en scène. Il est...

Écouter cet épisode

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

ETABLISSEMENT FRANÇAIS DU SANG.

Technicien de Maintenance en Matériel / Equipement H/F

ETABLISSEMENT FRANÇAIS DU SANG. - 20/06/2022 - CDI - BORDEAUX

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

60 - NOYON

Fourniture de colis de Noël pour les ainés - année 2022..

DATE DE REPONSE 01/01/1970

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS