L’UE peine à combattre les cyberattaques dans l’aéronautique

Pilots

Les pilotes déplorent le manque d'investissement pour contrer les cyberattaques. [Shutterstock]

Les cyberattaques dans le secteur de l’aviation inquiètent de plus en plus les compagnies aériennes, les constructeurs aéronautiques et les autorités.

Si les responsables politiques peinent à prendre la mesure de la menace des cyberattaques, les avis divergent dans le secteur aérien quant à l’implication de l’UE en la matière. « Pour l’heure, il est extrêmement difficile d’échanger des informations », estime Pascal Andrei, responsable de la sûreté des aéronefs chez Airbus depuis quinze ans.

Après avoir été négligée pendant des années, la cybersécurité est à présent devenue une priorité en Europe. Inspirée par les exploits américains en la matière, l’Europe tente de rattraper son retard.

L’aviation subit 1000 cyberattaques par mois

L’agence européenne de sécurité des avions demande que les menaces informatiques contre les compagnies aériennes et les aéroports soient prises au sérieux.

Cependant, les responsables politiques et le secteur privé essayent encore de trouver un niveau de coopération convenable, étant donné que les professionnels du secteur aéronautique considèrent que les autorités européennes, et plus particulièrement la Commission, sont « loin de la réalité » à ce sujet. « Les autorités parlent trop », juge une source de l’industrie aéronautique.

« La cybersécurité et les cyberattaques sont en constante évolution » assure Dirk Polloczek, président de l’Association européenne des personnels navigants techniques (ECA). « Nous devons investir davantage sur ce qui peut être fait, mais la question est aussi de savoir qui est responsable et qui gère les opérations » précise-t-il.

Retards et doublons

Les États-Unis ont créé un Centre d’analyse et de partage des informations en matière d’aviation (A-ISAC) en septembre 2014. Son but est d’échanger des informations sensibles concernant des incidents et des failles au sein d’un « réseau de confiance sécurisé », peut-on lire sur le site Internet de l’A-ISAC. Le groupe comprend des compagnies aériennes, Boeing et des agences de renseignement telles que la National Security Agency, le FBI et la CIA. Airbus et Lufthansa sont les seuls acteurs européens à participer à l’association, d’après l’un de ses membres.

Tandis qu’aux États-Unis, tous les moyens pour combattre les cyberattaques ont été déployés par le biais de l’A-ISAC, en Europe, les gouvernements et l’industrie élaborent des initiatives différentes.

En février dernier, l’Agence européenne de la sécurité aérienne (AESA) a créé le Centre européen pour la cybersécurité dans l’aviation (ECCSA). L’AESA a invité les constructeurs aéronautiques, les compagnies aériennes et d’autres parties prenantes à devenir membres de l’ECCSA (gratuitement) afin de bénéficier d’un partage de renseignements concernant les cyberattaques. L’agence européenne a également offert des moyens opérationnels pour lutter contre ces menaces.

« Ce n’est pas si facile de mettre en contact tous ces acteurs parce qu’ils ont tendance à travailler de manière isolée la plupart du temps » assure Davide Martini, responsable de la cybersécurité aérienne à l’AESA et de la mise en œuvre de l’ECCSA. « Dans le passé, nous avons observé des dynamiques d’échange d’informations pas vraiment efficaces concernant la cybersécurité », ajoute-t-il. Les entreprises restent cependant conscientes du rôle de l’UE dans la lutte contre les cyberattaques.

Certains acteurs ont toutefois décidé de ne pas attendre que l’initiative de l’AESA soit mise en place et ont conçu en novembre dernier une plateforme européenne de coordination stratégique. D’importantes parties prenantes du secteur, des États membres ainsi que des institutions européennes coopèreront au sein de cette plateforme. Une première réunion devrait être organisée cette année. Cette nouvelle plateforme remplacera un groupe informel déjà existant qui réunit Airbus, des compagnies aériennes et d’autres acteurs.

L'Elysée s'inquiète du risque de cyberattaques

François Hollande a demandé un rapport circonstancié sur les menaces de cyberattaques pesant sur la présidentielle, alors que que le Kremlin, déjà soupçonné d’avoir perturbé l’élection américaine, a dû démentir des accusations d’ingérence dans la campagne d’Emmanuel Macron.

Des avis partagés

Cependant, certains membres du secteur craignent que la participation des institutions européennes puisse avoir une incidence sur le flux d’informations sensibles. Les principaux constructeurs aéronautiques adoptent également un point de vue différent au sujet de l’implication des autorités européennes.

« Nous soutenons l’approche de Boeing et de son système à huis clos pour l’échange d’informations sensibles, mais si l’on veut lutter contre une menace organisée à l’échelle mondiale, nous devons communiquer les uns avec les autres. Cela devrait donc fonctionner dans les deux sens », estime Pascal Andrei.

D’après Elizabeth A. Pasztor, vice-présidente de Boeing en charge de la sûreté, de la sécurité et de la conformité, « Boeing est l’un des membres de l’industrie aéronautique qui coopère le plus activement avec les agences gouvernementales et les partenaires du secteur pour rendre le transport aérien encore plus sûr qu’il ne l’est déjà ». « L’élaboration de normes de cybersécurité pour les compagnies aériennes et le partage d’informations entre l’industrie et les gouvernements figurent parmi les mesures de coopération les plus importantes », avance-t-elle.

Pascal Andrei préconise que l’UE joue un rôle de « chef d’orchestre » afin d’harmoniser les caractéristiques techniques et les exigences pour les constructeurs, les compagnies aériennes, les aéroports, les fournisseurs et les systèmes de gestion du trafic aérien. « À l’heure actuelle, la plupart des réglementations de l’AESA concernent les constructeurs aériens. Or la sûreté est une chaîne. Il convient d’harmoniser les caractéristiques techniques et les exigences et de s’adresser à toutes les parties prenantes. »

Il espère que les parties prenantes échangeront davantage d’informations une fois que les institutions européennes participeront à la plateforme mise en place par l’industrie. Selon lui, les responsables politiques devaient être davantage en contact avec des spécialistes capables d’élaborer des directives opérationnelles afin de soutenir leurs propositions.

« Nous serons probablement encore plus exposés aux informations de cybersécurité qu’aujourd’hui », juge Davide Martini. « Cela signifie que l’AESA fonctionnera à plein régime, car c’est précisément son but, non seulement pour nous, mais aussi pour tous les membres de l’ECCSA. » La Commission n’a pas souhaité répondre aux questions d‘Euractiv à ce sujet.

L’AESA est convaincue que l’approche descendante des institutions européennes et les mesures ascendantes entreprises par l’industrie constituent des « initiatives complémentaires » toutes deux nécessaires, a déclaré un porte-parole.

Méfiance

La méfiance est de mise non seulement entre l’UE et le secteur de l’aviation, mais aussi entre les États membres. Cette méfiance a entravé l’échange d’informations sensibles dans le passé étant donné que les pays « ne partagent pas l’état d’esprit des États-Unis concernant la cybersécurité » selon Pascal Andrei.

Travailler avec l’A-ISAC serait plus simple, non seulement parce que toutes les agences de renseignement appartiennent à un seul pays, mais aussi grâce à la position « patriotique » des parties prenantes qui les pousse à lutter contre les menaces communes, a indiqué le responsable d’Airbus.

D’après lui, une fois que la nouvelle plateforme industrielle sera mise en place, la plateforme européenne « ne lui fera pas concurrence, mais sera plutôt complémentaire » aux travaux du groupe américain.

Pascal Andrei salue le « haut niveau de coopération » entre Boeing et Airbus concernant la sûreté et la cybersécurité. Les constructeurs américain et européen dominent le marché de la construction aéronautique. La concurrence féroce entre les deux entreprises a mené à des accusations mutuelles d’aides d’État illégales. « Depuis le 11-S, nous avons échangé beaucoup d’informations sensibles. Nous ne sommes pas en compétition avec Boeing » sur ces questions conclut Pascal Andrei.

Les 28 proposent de renforcer Europol dans la lutte anti-terrorisme

Les ministres de la Justice ont décidé de mettre en place une équipe de spécialistes nationaux de contre-terrorisme, afin de renforcer Europol, après les attentats de Bruxelles.

D'après les analystes du secteur aérien, la principale menace pour le secteur réside dans les réseaux au sol connectés aux avions, qui contiennent des informations liées au vol. L'AESA souligne que les systèmes au sol sont moins sécurisés que ceux qui sont installés dans les aéronefs.

À l'heure actuelle, les applications informatiques utilisées par les passagers à bord des avions, telles que les consoles interactives ou la connexion wifi, sont physiquement séparées des systèmes de sécurité à bord.

En juin 2015, une attaque a empêché à 1 400 passagers d'embarquer à l'aéroport Chopin de Varsovie. Le système de plan de vol de dix avions était alors tombé en panne.

L'Association internationale du transport aérien (IATA) a développé une stratégie en trois volets pour comprendre, définir et évaluer les menaces et les risques de cyberattaques, établir la base d'une réglementation adéquate et les mécanismes d'une coopération renforcée à travers le secteur, avec le soutien des gouvernements.

industrie

Subscribe to our newsletters

Subscribe

Envie de savoir ce qu'il se passe ailleurs en Europe? Souscrivez maintenant à The Capitals.