Cyberattaques : les aéroports sont-ils réellement en danger ?
La société Collins Aerospace, sous-traitant de plusieurs aéroports, fournit les systèmes d’enregistrement de passagers et de bagages. La directive NIS2 s’applique en Europe pour renforcer la cybersécurité des infrastructures critiques, y compris les aéroports.
C’est un sous-traitant de plusieurs aéroports qui a été visé par la cyberattaque. Ce sous-traitant, la société Collins Aerospace, fournit les systèmes d’enregistrement de passagers et de bagages. C’est l’une des nombreuses entreprises qui entourent les aéroports. En effet, de la maintenance aux opérations sur les pistes en passant par l’enregistrement des passagers, de nombreuses tâches sont sous-traitées par les aéroports et les compagnies aériennes à des sociétés externes, autant de portes d’entrée pour les pirates informatiques.
Pour assurer la sécurité des aéroports, le travail à mener est immense, rendu encore plus complexe par la multitude d’opérateurs présents dans le secteur aéroportuaire.
« Le système aérien dans son ensemble, quand vous regardez tous les aéroports et toutes les compagnies aériennes, fait appel à des centaines de sous-traitants. Donc ils doivent passer chaque sous-traitant en revue et les vérifier pour s’assurer qu’ils disposent des défenses informatiques adéquates […] ce n’est clairement pas toujours possible », remarque Paul Charles, spécialiste du secteur aérien et du voyage et dirigeant de « The PC Agency ».
Ce sont des infrastructures « sensibles, assez vulnérables », ajoute Christophe Celio, expert en cybersécurité chez NPS Consult Group. « La gestion de ces sous-traitants, de ces sociétés de prestation de services ouvre en fait une surface d’attaque beaucoup plus importante au niveau des cyberattaques », poursuit Christophe Celio.
Chaque fournisseur a sa façon d’interagir et de fonctionner avec l’aéroport, ce qui accroît les risques : « Ils ouvrent des portes, si vous voulez, au niveau de l’infrastructure d’un aéroport. C’est le même cas, malheureusement, dans les hôpitaux qui ont également énormément de fournisseurs à gérer. Et ça diminue, en fait, la sécurité globale des aéroports », ajoute l’expert en cybersécurité.
Depuis peu, la directive NIS2 s’applique en Europe, explique Christophe Celio. Elle établit un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, incluant les infrastructures critiques comme les aéroports. La Belgique est actuellement en train de transposer cette directive.
Quelles mesures sont recommandées dans le cadre de cette directive ? « Par exemple, il s’agit d’avoir une équipe en interne avec des compétences pour faire face à une attaque. C’est avoir une meilleure gestion des fournisseurs en définissant des règles beaucoup plus strictes s’ils viennent sur le réseau avec du matériel, avec des logiciels », précise Christophe Celio.
« Tous ces éléments-là vont contribuer effectivement à une augmentation globale de la surface d’attaque et surtout à limiter les risques d’attaque ou les tentatives d’attaque en cybersécurité », ajoute l’expert.
Collins Aerospace, la société visée par la cyberattaque, est une cible significative. Cette entreprise américaine est un géant mondial, actifs non seulement dans les technologies d’enregistrement des passagers, mais aussi dans d’autres domaines de l’aéronautique, y compris dans le secteur de la Défense.
Cela soulève de sérieuses inquiétudes : « Collins fournit le gouvernement britannique, ainsi que d’autres gouvernements à travers le monde, notamment le gouvernement australien. Et je pense qu’il y aura de vives inquiétudes quant au fait que leurs systèmes aient pu être manipulés de cette manière », déclare Paul Charles, CEO de The PC Agency, spécialiste du secteur aérien et du voyage.
En plus de comprendre comment Collins Aerospace a été touché, il est crucial de se demander pourquoi cette société a été ciblée. « Vu le contexte géopolitique, les tests de drones à travers les différentes frontières européennes, on pourrait croire que c’est un message, à nouveau un test de la Russie, pour voir dans quelle mesure ils sont capables de bloquer des infrastructures sensibles en Europe », analyse Christophe Celio.
Cependant, dans la plupart des cas, les cyberattaques de ce type sont motivées par des considérations financières. « L’élément central de ce genre d’attaque organisée et ciblée, c’est essentiellement pour de l’argent, pour soutirer de l’argent, pour voler des données, en particulier des données personnelles, pour pouvoir les revendre au meilleur prix sur les différents marchés, notamment sur le dark web », ajoute Christophe Celio.
Les jours à venir, ainsi que les enquêtes en cours, apporteront peut-être davantage de clarté.
Cet épisode de cyberattaque a démontré que les failles informatiques permettant aux pirates d’accéder aux infrastructures critiques sont encore trop nombreuses. Les experts en cybersécurité insistent souvent sur la nécessité de sensibiliser les différents maillons de la chaîne au sein d’une entreprise aux risques liés à la sécurité informatique.
Souvent, ce sont les travailleurs qui, par une mauvaise connaissance ou un usage inapproprié d’un outil, permettent aux cybercriminels de détecter la faille. « C’est surtout sur l’humain qu’il faut investir, sur les personnes. Donc sensibiliser les personnes justement sur les dangers de l’utilisation de l’internet, des applications. On parle beaucoup du cloud, du cloud hybride. Il y a énormément de données actuellement qui sont externalisées au sein des institutions, au sein des aéroports », réagit Christophe Celio.
Une cyberattaque peut laisser des séquelles, parfois pendant longtemps, et nuire au fonctionnement d’une entreprise ou d’une structure. Dans un domaine distinct des aéroports, on se souviendra de l’intrusion informatique dont a été victime le SPW, le Service public de Wallonie, à la mi-avril.
Il a fallu plusieurs mois pour que le SPW restaure ses activités informatiques. Cinq mois après l’intrusion, plus de 90 % de ces activités sont totalement (+ de 80 %) ou partiellement (+ de 10 %) restaurées, mais tout n’est pas encore résolu.
