Romain Bottan (BoostAerospace) : « Les PME aéronautiques doivent être aidées pour se protéger des cyberattaques »

BoostAerospace, plateforme numérique fondée en 2011 par les géants de l’aviation Airbus, Dassault, Thales et Safran, vient d’annoncer un partenariat avec Normandie AeroEspace pour ouvrir aux PME du réseau régional le programme AirCyber, qui vise à faire monter le niveau de cybersécurité de la filière aéro. Romain Bottan, chargé du sujet au sein BoostAerospace, détaille pour Industrie & Technologies le fonctionnement de ce programme lancé en janvier 2019.

Partager
Romain Bottan (BoostAerospace) : « Les PME aéronautiques doivent être aidées pour se protéger des cyberattaques »
Romain Bottan avait présenté un premier retour d'expérience sur la preuve de concept d'AirCyber devant les membres du Club de la sécurité de l'information français (Clusif), en décembre 2018.

Industrie & Technologies : Qu'est-ce que le programme AirCyber ?

Romain Bottan : La mission principale d'AirCyber est de réduire le risque de cyberattaques réussies dans la filière aéronautique. Avec un double objectif : répondre au besoin des donneurs d'ordres de sécuriser leur supply chain et augmenter le niveau de sécurité des TPE-PME du tissu aéronautique pour sécuriser leurs activités propres. BoostAerospace les guide pour monter en gamme, jusqu'à atteindre un niveau de sécurité équivalent à celui de leurs clients, les donneurs d'ordres.

C'est une approche étape par étape en trois niveaux : le bronze, qui correspond au niveau élémentaire des règles d'hygiène de l'Agence nationale de la sécurité des systèmes d’information (Anssi) ; le silver, au niveau avancé des règles d'hygiène de l'Anssi ; et le gold, soit le niveau de protection des donneurs d'ordres de l'aéronautique.

Par exemple, dans le niveau bronze, les adhérents doivent appliquer les correctifs de sécurité et mettre à jour toutes leurs machines. Au niveau silver, il faut qu'un audit technique du niveau de protection du système d'information ait été réalisé par un expert en sécurité. Au niveau gold, il faut être capable de détecter un événement de cybersécurité dans son système d'information : avoir une sonde et avoir souscrit à un service qui permet d'être alerté en cas de détection d'attaque cyber dans son système.

Concrètement, comment comptez-vous augmenter le niveau de sécurité des fournisseurs ?

Le premier axe d'action repose sur la sensibilisation. Nous faisons participer les fournisseurs à des événements en invitant des experts, autant étatiques que donneurs d'ordres. Ensuite, nous proposons une analyse de maturité avec ces différents niveaux : le fournisseur rempli un questionnaire, puis celui-ci est vérifié par un expert, sur site. Cette évaluation est renouvelée régulièrement : nous relançons chaque année le fournisseur pour qu'il augmente son niveau de maturité.

Ensuite, nous avons un catalogue de solutions et des services de cybersécurité associés aux résultats de l'analyse de maturité pour aider le fournisseur à trouver des solutions que d'autres fournisseurs ou leur donneur d'ordre, leur client, ont déployé. Il est simplement proposé au fournisseur : on ne le contrôlera pas pour voir s'il a bien déployé telle ou telle solution.

Quel accompagnement proposez-vous pour la mise en place de solutions ?

L’adhérent AirCyber, dès qu'il souscrit au programme, a immédiatement accès à un ensemble de guides produits par les donneurs d'ordres pour leur système d'information. On s'occupe de mettre ces guides à disposition du fournisseur après les avoir anonymisés pour éviter tout problème de responsabilité dans la communication. Nous avons aussi un guide de vérification technique du niveau de maturité. L'objectif : que le fournisseur puisse vérifier techniquement qu'il - ou un tiers - a bien mis en place les mesures adéquates grâce à un outil qui vérifie que son environnement informatique dispose bien des mesures de protection censées avoir été déployées.

Enfin, nous avons mis en place un portail et une solution technologique qui permet à tous les fournisseurs d'échanger sur des cyber-attaques en toute confiance et anonymat entre eux et avec les donneurs d'ordres. Ces derniers utilisent cette plate-forme pour indiquer très rapidement à leurs fournisseurs qu'il y a une attaque en cours, comme une campagne de hameçonnage ciblant l'aéronautique, par exemple. C'est comme si on était une seule entreprise qui communique très bien.

D'où vient l'idée de lancer AirCyber ?

On a commercialisé AirCyber en janvier 2019 suite à une vague d'attaques ayant touché les PME et TPE. Ces dernières, au sein du tissu aéronautique, ont fait part de leur besoin, via le Groupement des industries françaises aéronautiques et spatiales (Gifas), de se faire aider pour se protéger des grosses attaques comme WannaCry.

Comme BoostAerospace est un peu le bras armé du Gifas, celui-ci nous a demandé si l'on pouvait aider ces entreprises. Mon président, Patrick Fanget, grâce à son ancienneté aux achats aéronautiques chez Airbus, est très sensibilisé aux risques que représente, pour un donneur d'ordres, la perte d'un fournisseur. Les impacts en termes de production, surtout quand des équipements critiques sont en jeu, peuvent être énormes. Il m'a demandé de voir ce que l'on pouvait faire sur le sujet.

Grâce à son impulsion, on a pu relancer un projet qui était prêt depuis un an. En effet, l’idée d’AirCyber date de 2015. A l’époque, c'était une demande des donneurs d'ordres, appuyée par les institutions gouvernementales, qui avaient fait le constat d’un véritable manque de cybersécurité dans la supply chain à force d'intervenir auprès des fournisseurs ou après des découvertes de problèmes de sécurité.

Combien d'entreprises ont souscrit au programme ?

Nous sommes à peu près à la moitié de l'objectif de cette année, qui est d'intégrer 100 entreprises, 300 l'année prochaine, 400 en 2021 et 400 en 2022. Ce qui ferait 1 200 entreprises sur quatre ans. L'année prochaine, on commence à ouvrir le programme à l'international.

Nous avons deux types d'adhérents : des TPE-PME qui entrent dans le programme parce qu'elles ont compris que la cybersécurité était importante pour elle et pour leurs clients et qu'elles ont besoin d'être aidées, et des grands groupes, comme Latécoère ou Liebherr, qui entrent dans le programme pour témoigner de leur niveau de protection parce qu'ils savent que la cyber est un atout concurrentiel évident sur les appels d'offres des clients.

Quel retour d'expérience avez-vous reçu des entreprises qui ont souscrit à AirCyber ?

Aujourd'hui, les entreprises qui ont souscrit croyaient, avant de venir, qu'elles étaient bien protégées, ce qui n'est souvent pas le cas. Ou alors, elles avaient du mal à évaluer leur niveau de protection. Leurs premières demandes ont visé le diagnostic qu'apporte AirCyber afin de pouvoir mettre en place, de leur côté, une feuille de route. Les premières évaluations viennent tout juste d'être réalisées.

En 2017 et début 2018, nous avons fait une preuve de concept pour valider le programme ArCyber auprès de 16 PME-TPE. Nous avons eu de très bons retours.

Avez-vous prévu des événements pour gagner en visibilité ?

Nous allons être présents à l’événement organisé par Normandie AeroEspace (NAE) en fin d’année. NAE comptait sensibiliser leurs membres à la cybersécurité. Quand ils ont vu qu'on avait ce programme-là au niveau de BoostAerospace, ils nous ont proposé d'intervenir lors de leur session de sensibilisation pour le présenter. Cela nous permet d'accélérer le déploiement d'AirCyber en expliquant à l'entreprise en face à face le risque cyber et la nécessité de lancer un plan d'action.

Il y le programme Industrie du futur organisé par le Gifas pour aider les TPE et PME de l'aéronautique et le spatial français à augmenter leur industrialisation et leur accès au numérique. Ce programme est cofinancé par les régions et par l'Etat, à hauteur de 20 millions d'euros, à peu près. Il démarre officiellement en septembre. Il y a plusieurs volets : analyse et aide à l'identification des actions de numérisation possibles ; déploiement d'AirConnect, un produit de BoostAerospace qui permet de numériser la connexion de leur ERP vers les ERP des donneurs d'ordres, grâce à la solution AirSupply ; et déploiement d'AirCyber. 300 entreprises membres du Gifas adhèrent au programme Industrie du futur et vont rejoindre AirCyber. Les premières arriveront en septembre, puis nous les intègrerons par vagues. Ce programme va nous aider à atteindre nos objectifs de déploiement d'AirCyber.

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER Aéro et Défense

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Dans ce nouvel épisode de « Demain dans nos assiettes », notre journaliste reçoit Frédéric Wallet. Chercheur à l'Inrae, il est l'auteur de Manger Demain, paru aux...

Écouter cet épisode

La fin du charbon en Moselle

La fin du charbon en Moselle

Dans ce nouvel épisode de La Fabrique, Cécile Maillard nous emmène à Saint Avold, en Moselle, dans l'enceinte de l'une des trois dernières centrales à charbon de...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

VILLE DE CALLAC

Technicien des Services Techniques H/F

VILLE DE CALLAC - 31/03/2022 - CDD - CALLAC DE BRETAGNE

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

80 - MONTDIDIER

Etudes géotechniques pour la déconnexion de 25HA de surfaces actives du système de collecte de Montdidier en amont du DO13.

DATE DE REPONSE 20/06/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS