Romain Bottan (BoostAerospace) : « Les PME aéronautiques doivent être aidées pour se protéger des cyberattaques »

Industrie & Technologies : Qu'est-ce que le programme AirCyber ?

Romain Bottan : La mission principale d'AirCyber est de réduire le risque de cyberattaques réussies dans la filière aéronautique. Avec un double objectif : répondre au besoin des donneurs d'ordres de sécuriser leur supply chain et augmenter le niveau de sécurité des TPE-PME du tissu aéronautique pour sécuriser leurs activités propres. BoostAerospace les guide pour monter en gamme, jusqu'à atteindre un niveau de sécurité équivalent à celui de leurs clients, les donneurs d'ordres.

C'est une approche étape par étape en trois niveaux : le bronze, qui correspond au niveau élémentaire des règles d'hygiène de l'Agence nationale de la sécurité des systèmes d’information (Anssi) ; le silver, au niveau avancé des règles d'hygiène de l'Anssi ; et le gold, soit le niveau de protection des donneurs d'ordres de l'aéronautique.

Par exemple, dans le niveau bronze, les adhérents doivent appliquer les correctifs de sécurité et mettre à jour toutes leurs machines. Au niveau silver, il faut qu'un audit technique du niveau de protection du système d'information ait été réalisé par un expert en sécurité. Au niveau gold, il faut être capable de détecter un événement de cybersécurité dans son système d'information : avoir une sonde et avoir souscrit à un service qui permet d'être alerté en cas de détection d'attaque cyber dans son système.

Concrètement, comment comptez-vous augmenter le niveau de sécurité des fournisseurs ?

Le premier axe d'action repose sur la sensibilisation. Nous faisons participer les fournisseurs à des événements en invitant des experts, autant étatiques que donneurs d'ordres. Ensuite, nous proposons une analyse de maturité avec ces différents niveaux : le fournisseur rempli un questionnaire, puis celui-ci est vérifié par un expert, sur site. Cette évaluation est renouvelée régulièrement : nous relançons chaque année le fournisseur pour qu'il augmente son niveau de maturité.

Ensuite, nous avons un catalogue de solutions et des services de cybersécurité associés aux résultats de l'analyse de maturité pour aider le fournisseur à trouver des solutions que d'autres fournisseurs ou leur donneur d'ordre, leur client, ont déployé. Il est simplement proposé au fournisseur : on ne le contrôlera pas pour voir s'il a bien déployé telle ou telle solution.

Quel accompagnement proposez-vous pour la mise en place de solutions ?

L’adhérent AirCyber, dès qu'il souscrit au programme, a immédiatement accès à un ensemble de guides produits par les donneurs d'ordres pour leur système d'information. On s'occupe de mettre ces guides à disposition du fournisseur après les avoir anonymisés pour éviter tout problème de responsabilité dans la communication. Nous avons aussi un guide de vérification technique du niveau de maturité. L'objectif : que le fournisseur puisse vérifier techniquement qu'il - ou un tiers - a bien mis en place les mesures adéquates grâce à un outil qui vérifie que son environnement informatique dispose bien des mesures de protection censées avoir été déployées.

Enfin, nous avons mis en place un portail et une solution technologique qui permet à tous les fournisseurs d'échanger sur des cyber-attaques en toute confiance et anonymat entre eux et avec les donneurs d'ordres. Ces derniers utilisent cette plate-forme pour indiquer très rapidement à leurs fournisseurs qu'il y a une attaque en cours, comme une campagne de hameçonnage ciblant l'aéronautique, par exemple. C'est comme si on était une seule entreprise qui communique très bien.

D'où vient l'idée de lancer AirCyber ?

On a commercialisé AirCyber en janvier 2019 suite à une vague d'attaques ayant touché les PME et TPE. Ces dernières, au sein du tissu aéronautique, ont fait part de leur besoin, via le Groupement des industries françaises aéronautiques et spatiales (Gifas), de se faire aider pour se protéger des grosses attaques comme WannaCry.

Comme BoostAerospace est un peu le bras armé du Gifas, celui-ci nous a demandé si l'on pouvait aider ces entreprises. Mon président, Patrick Fanget, grâce à son ancienneté aux achats aéronautiques chez Airbus, est très sensibilisé aux risques que représente, pour un donneur d'ordres, la perte d'un fournisseur. Les impacts en termes de production, surtout quand des équipements critiques sont en jeu, peuvent être énormes. Il m'a demandé de voir ce que l'on pouvait faire sur le sujet.

Grâce à son impulsion, on a pu relancer un projet qui était prêt depuis un an. En effet, l’idée d’AirCyber date de 2015. A l’époque, c'était une demande des donneurs d'ordres, appuyée par les institutions gouvernementales, qui avaient fait le constat d’un véritable manque de cybersécurité dans la supply chain à force d'intervenir auprès des fournisseurs ou après des découvertes de problèmes de sécurité.

Combien d'entreprises ont souscrit au programme ?

Nous sommes à peu près à la moitié de l'objectif de cette année, qui est d'intégrer 100 entreprises, 300 l'année prochaine, 400 en 2021 et 400 en 2022. Ce qui ferait 1 200 entreprises sur quatre ans. L'année prochaine, on commence à ouvrir le programme à l'international.

Nous avons deux types d'adhérents : des TPE-PME qui entrent dans le programme parce qu'elles ont compris que la cybersécurité était importante pour elle et pour leurs clients et qu'elles ont besoin d'être aidées, et des grands groupes, comme Latécoère ou Liebherr, qui entrent dans le programme pour témoigner de leur niveau de protection parce qu'ils savent que la cyber est un atout concurrentiel évident sur les appels d'offres des clients.

Quel retour d'expérience avez-vous reçu des entreprises qui ont souscrit à AirCyber ?

Aujourd'hui, les entreprises qui ont souscrit croyaient, avant de venir, qu'elles étaient bien protégées, ce qui n'est souvent pas le cas. Ou alors, elles avaient du mal à évaluer leur niveau de protection. Leurs premières demandes ont visé le diagnostic qu'apporte AirCyber afin de pouvoir mettre en place, de leur côté, une feuille de route. Les premières évaluations viennent tout juste d'être réalisées.

En 2017 et début 2018, nous avons fait une preuve de concept pour valider le programme ArCyber auprès de 16 PME-TPE. Nous avons eu de très bons retours.

Avez-vous prévu des événements pour gagner en visibilité ?

Nous allons être présents à l’événement organisé par Normandie AeroEspace (NAE) en fin d’année. NAE comptait sensibiliser leurs membres à la cybersécurité. Quand ils ont vu qu'on avait ce programme-là au niveau de BoostAerospace, ils nous ont proposé d'intervenir lors de leur session de sensibilisation pour le présenter. Cela nous permet d'accélérer le déploiement d'AirCyber en expliquant à l'entreprise en face à face le risque cyber et la nécessité de lancer un plan d'action.

Il y le programme Industrie du futur organisé par le Gifas pour aider les TPE et PME de l'aéronautique et le spatial français à augmenter leur industrialisation et leur accès au numérique. Ce programme est cofinancé par les régions et par l'Etat, à hauteur de 20 millions d'euros, à peu près. Il démarre officiellement en septembre. Il y a plusieurs volets : analyse et aide à l'identification des actions de numérisation possibles ; déploiement d'AirConnect, un produit de BoostAerospace qui permet de numériser la connexion de leur ERP vers les ERP des donneurs d'ordres, grâce à la solution AirSupply ; et déploiement d'AirCyber. 300 entreprises membres du Gifas adhèrent au programme Industrie du futur et vont rejoindre AirCyber. Les premières arriveront en septembre, puis nous les intègrerons par vagues. Ce programme va nous aider à atteindre nos objectifs de déploiement d'AirCyber.

Sélectionné pour vous

Boeing suspend les livraisons du 787 après avoir repéré un nouveau défaut

L’aéronautique pivote vers l’impression 3D

Le rythme industriel d'Airbus devient plus prévisible selon son directeur commercial