Le secteur aéronautique français se dote d’un CERT dédié
Créé à l’initiative du Conseil Cyber du Transport Aérien (CCTA), le CERT Aviation a lancé ses premiers services cyber il y a quelques mois, avec l’objectif de faciliter les échanges entre RSSI des grands groupes du secteur, mais aussi de venir en aide à ses nombreuses PME.
Le secteur aéronautique est sans doute l’un des fleurons de l’industrie européenne. On pense notamment à Airbus évidemment, à Dassault Aviation, Thales ou encore au groupe ADP. Du fait de son importance, ce secteur est l’objet de nombreuses attaques cyber, aux motivations variées, de la déstabilisation en passant par le cyberespionnage.
Pour faciliter la circulation des informations entre ses principaux acteurs, le Conseil Cyber du Transport Aérien (CCTA) a pris l’initiative de créer l’association CERT Aviation France en novembre 2022. Parmi ses membres fondateurs, on retrouve Air France, Airbus, le groupe ADP, la DGAC (Direction Générale de l’Aviation Civile), et Dassault Aviation.
Marion Buchet, responsable du CERT Aviation résume la mission de l’association : « il s’agit d’aider les entreprises du secteur aéronautique à faire face à la menace cyber. Plus aucune entreprise n’est à l’abri de ce type de menace et le contexte international particulièrement instable met en jeu une confrontation hybride, où le cyber devient assez courant. À ces menaces globales viennent s’ajouter des éléments plus spécifiques au secteur aéronautique. C’est le cas de l’espionnage industriel ou encore de l’atteinte à l’image de l’aéronautique qui a souvent une portée politique. On le voit notamment avec des actions de déni de service ».
Outre ses 9 fondateurs, ce CERT sectoriel compte 33 membres adhérents. L’accès est aujourd’hui gratuit, mais le ticket d’entrée des membres fondateurs sera de l’ordre de 10 000 euros.
L’association est un espace de partage entre les acteurs du secteur, avec l’organisation de webinaires de sensibilisation, d’After-Work. Chaque jour, un point sur les signaux faibles est tenu. Tous les membres peuvent se connecter et partager ce qu’ils ont pu observer. Enfin, des boucles de discussion sur une messagerie chiffrée permettent à tous d’échanger rapidement des informations.
Deux premiers services de sécurité externalisés
Outre cette animation de communauté, le CERT Aviation, une structure ultralégère de 2 personnes, a commencé à délivrer des services de sécurité externalisés à ses membres. L’association étant financée par le denier public, les premiers services délivrés ont été choisis sur appel d’offres. Le service de réponse à incident a été confié à SysDream, tandis que XMCO a été chargé d’un service de veille.
« Notre association est à la confluence de la cybersécurité et de l’aéronautique. »
Marion BuchetResponsable du CERT Aviation
Pour le volet réponse à incident, Marion Buchet précise : « nous souhaitions un service de réponse à incident qui soit activable en 24/7. Il s’agit d’un conseil de premier niveau, avec les actions réflexes à réaliser en cas d’attaque, puis une mise en relation avec les entités compétentes, à savoir l’Anssi, la gendarmerie, la CNIL et un rappel aux opérateurs qui doivent notifier l’incident auprès de la direction de la sécurité de l’aviation civile ».
Le service de réponse a démarré ses activités en octobre 2023, avec un numéro d’appel et une adresse de contact que les membres du CERT peuvent solliciter en cas d’incident. Serge Carpentier, directeur des activités Audits, GRC, CSIRT et CERT chez SysDream souligne : « lorsque Hub One, filiale du groupe ADP a réalisé l’acquisition de SysDream en 2018, nous avons développé nos services autour de l’aérien et monté une activité de réponse à incident. Ce projet était l’occasion de mettre à profit nos connaissances auprès des différents acteurs et prestataires au service du CERT Aviation. C’est la raison pour laquelle nous avons souhaité répondre à cet appel d’offres ».
Pour Serge Carpentier, le CERT Aviation ne se démarque pas fondamentalement des autres CERT. Il met ainsi en application le référentiel de l’ENISA. Ce qui le démarque toutefois d’autres projets comparables, c’est la volonté de ses promoteurs de disposer d’une réactivité en 24/7 et d’avoir une bonne connaissance du secteur.
« Pour les opérations de réponse à incident, chaque client est unique, que ce soit par les fiches réflexes et les missions qui peuvent être différentes », relève Serge Carpentier. Et de préciser : « nous avons un certain nombre d’opérations que nous pouvons effectuer pour aider un membre du CERT, avec quelques gestes techniques opérationnels, mais avant tout il s’agit d’accompagner et rassurer la victime, et s’assurer qu’elle est en capacité de répondre à l’incident. Ensuite, nous communiquons l’information pour que le CERT Aviation puisse communiquer auprès de l’ensemble de ses membres, notamment lorsque des similitudes sont repérées entre les attaques portées sur plusieurs membres ».
Lors de ces premiers mois d’activité, les attaques observées ne se sont guère démarquées de ce qui peut être observé dans d’autres secteurs. « L’observation la plus fréquente reste l’attaque par déni de service pour perturber l’activité de l’entreprise visée », explique Serge Carpentier. Toutefois, « beaucoup d’attaques sont liées à l’actualité géopolitique du moment. Chaque prise de position du gouvernement sur les différents conflits actuels se solde par des attaques. Les JO ont d’ores et déjà un impact, notamment depuis l’arrivée de la flamme en France. En parallèle, il y a beaucoup de tentatives liées à l’espionnage industriel, à des tentatives d’exfiltration de données ».
Une offre de services en propre en cours de constitution
En parallèle à ces services externalisés, le CERT Aviation développe une offre de services en propre qui porte sur la surveillance de la disponibilité des sites internet des bénéficiaires, l’analyse de leur empreinte numérique et encore de l’analyse de maliciels.
« A terme, notre but est de nous adresser aux gens qui ne sont pas issus du monde de la cybersécurité, aux chefs d’entreprise directement. »
Marion BuchetResponsable du CERT Aviation
Enfin, le CERT peut délivrer des conseils à une victime démunie de RSSI, par exemple, avec une limite : ne pas se substituer à un prestataire spécialisé, ce qui constituerait une distorsion de concurrence. Marion Buchet explique : « les gros acteurs du secteur disposent déjà de ressources internes et d’un prestataire de sécurité. Pour les plus petits acteurs, soit nous pouvons venir en appui de leur prestataire, soit, s’ils n’en ont pas, SysDream peut les mettre en relation avec leur CSIRT régional qui les aiguillera vers des prestataires locaux ».
Le CERT Aviation réfléchit aujourd’hui à mettre en place une plateforme technique pour interagir avec ses membres. Deux options sont à l’étude : soit une instance Misp (Malware Information Sharing Platform), soit une instance OpenCTI. « Notre activité principale n’est pas tant de générer du renseignement sur les menaces que de mutualiser la connaissance de nos membres et éventuellement anonymiser ces informations, si ces membres ne souhaitent pas être liés à cette donnée », précise Marion Buchet.
Parmi les projets du CERT Aviation figure un futur appel à manifestation d’intérêt, afin de présélectionner et tester des solutions et négocier des tarifs pour les membres de l’association. L’idée est, là encore, d’aider les petites entreprises du secteur qui n’ont pas les ressources pour monter des démonstrateurs. Enfin, Marion Buchet aimerait proposer une offre de SOC « projetable », une capacité qui n’a pas encore été intégrée à l’offre de services du CERT.
À partir de septembre, une campagne de communication devrait être lancée afin d’accroître la notoriété du CERT Aviation auprès de l’écosystème de l’aéronautique, et dépasser le cercle des RSSI du secteur.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
