Cyberattaques : les donneurs d'ordres de l'aéro à la chasse aux sous-traitants défaillants
Actualité

Cyberattaques : les donneurs d'ordres de l'aéro à la chasse aux sous-traitants défaillants

artia13 16 Views


Pourtant, ces dernières années, les cyberattaques dans l’aéronautique touchent davantage la chaîne d’approvisionnement que les donneurs d’ordres, mieux protégés. Selon une étude publiée en 2023 par la Direction générale des entreprises, moins de la moitié des quelque 4500 sous-traitants du secteur auraient le niveau de cybersécurité requis. L’objectif de Marion Buchet, la responsable du Cert Aviation, doté de 1 million d’euros annuel par l’Agence nationale de la sécurité des systèmes d’information (Anssi) : conquérir 200 membres supplémentaires d’ici à 2026. En dépit du fait que le dispositif, à l’origine gratuit, est devenu payant depuis le 1er janvier. Il coûte 300 euros pour une TPE de 50 personnes ou moins et «jusqu’à 10000 euros pour les entreprises de plus de 5000 personnes», précise Marion Buchet.


Des sous-traitants difficiles à sensibiliser


Autre initiative mise en place en 2018 par Airbus, Dassault, Safran et Thales, le dispositif AirCyber ambitionne d’aider les fournisseurs à gagner en maturité. Mais aussi de donner un cadre de référence commun, face à la multiplication des réglementations et des exigences. Après un diagnostic cyber dont le coût démarre à 5000 euros, les sous-traitants se voient proposer de progresser au travers de niveaux allant du bronze à l’or. Le premier niveau doit permettre de répondre aux exigences de la directive européenne de cybersécurité NIS 2, entrée en vigueur en France en octobre dernier et qui sera passible de sanction en cas de non-conformité à partir de fin 2027.


Pour l’heure, quelque 350 PME et TPE de l’aéronautique ont rejoint le dispositif. Si ce dernier «fonctionne très bien», assure Romain Bottan, le directeur du programme AirCyber de BoostAeroSpace, un certain nombre de fournisseurs se montrent toujours réticents à investir du temps et de l’argent dans la cybersécurité. «Atteindre les niveaux bronze, argent puis or représente un investissement de 25000 à 50000 euros par an pour une PME, 10000 euros pour une TPE», détaille le responsable, qui ajoute que la frilosité vient aussi du temps nécessaire à la mise en œuvre du plan d’action suggéré. «Signe de cette réticence, lorsque nous avons offert 100 diagnostics gratuits, nous n’avons eu que 70 candidats. Et même ceux-là, nous avons dû aller les chercher et les convaincre», révèle-t-il.


De plus en plus d’obligations


Fournisseur de Safran spécialisé dans l’usinage mécanique de précision pour les pièces de moteurs, la TPE normande Maugars Industrie a rejoint AirCyber en 2019 sous l’impulsion de son nouveau responsable informatique, Jean-Christophe Vaussier. «L’idée nous a été soufflée par Safran. Au début nous remplissions très peu de cases, mais quatre ans plus tard nous y sommes parvenus», précise-t-il, en ajoutant apprécier d’avoir un «cadre référentiel avec des priorités à suivre». Une mise à niveau consommatrice en temps plus encore qu’en argent, selon cet informaticien qui n’avait à l’origine que peu de connaissances en cybersécurité. «Nous avons dû configurer les serveurs, les équipements de sécurité, rédiger les procédures de sécurité… Cela m’a rajouté du travail alors que je suis seul avec un alternant spécialisé en cybersécurité.» Pour autant, Jean-Christophe Vaussier n’envisage pas de s’arrêter au niveau bronze, «qui ne protège pas suffisamment face à l’évolution de la menace et alors que Maugars a déjà été victime d’une cyberattaque en 2016».


De leur côté, les donneurs d’ordres mettent progressivement davantage de pression. Depuis juin 2024, Safran a rendu le niveau bronze obligatoire pour ses sous-traitants, selon le responsable d’AirCyber. Chez Dassault, qui se dit confronté à «plusieurs attaques par mois visant ses fournisseurs», quelque 1000 sous-traitants critiques doivent répondre à un questionnaire cyber de 21 questions. «Parmi nos plus petits fournisseurs, certains répondent non à pratiquement toutes les questions, y compris des triviales, comme : “Avez-vous un accès Wi-Fi avec un mot de passe ?” Or, certains ont pour clients des entreprises dans la défense, c’est inquiétant», estime Arnaud Massia, responsable adjoint de la sécurité des systèmes d’information de Dassault Aviation. Face à ce constat, l’entreprise dit envisager, d’ici à trois ans, de rendre l’adhésion au Cert Aviation et le niveau bronze d’AirCyber obligatoires.


Chez Thales, le niveau d’exigence dépend du niveau de criticité de l’activité. «Quand le risque est critique, nous demandons des preuves, et quand c’est très critique, nous envoyons des auditeurs», précise Stéphane Lenco, son RSSI. Les questionnaires sont similaires à ceux d’AirCyber, pour inciter les fournisseurs à rejoindre le programme de certification. Pour les entreprises dont le chiffre d’affaires dépend de l’aéronautique, il va devenir de plus en plus compliqué de repousser la mise à niveau. #


Un campus pour TPE et PME


Situé dans les locaux de Data Valley à Labège (Haute-Garonne), proche de Toulouse, Cyber’Occ, le centre régional de cybersécurité, doit être inauguré dans le courant de l’année, mais est déjà opérationnel. Doté pour l’instant d’un budget de 500000 euros, cofinancé par l’Anssi et la Région Occitanie, il vise en priorité l’accompagnement de TPE et PME locales, dont beaucoup appartiennent au secteur aéronautique : «Face à la multiplication des dispositifs cyber, nous voulons être un guichet unique pour les plus petites structures. Dans l’aéronautique, nous visons en particulier les sous-traitants de rang 3 ou 4 qui ne sont pas forcément éligibles à AirCyber», explique Marc Sztulman, le président de Cyber’Occ. L’accompagnement, gratuit, consiste à réaliser un état des lieux de la menace, puis, si une montée en gamme est nécessaire, à orienter vers l’un des 54 prestataires en cybersécurité locaux membres de Cyber’Occ. #


Vous lisez un article de L’Usine Nouvelle 3740 – Mars 2025

Lire le sommaire

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 4862 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

Retour sur la Journée OSINT 2024 – Forum InCyber

Retour sur la Journée OSINT 2024 – Forum InCyber

artia13
Cyberzen, finaliste du Prix de la Startup Forum INCYBER 2025

Cyberzen, finaliste du Prix de la Startup Forum INCYBER 2025

artia13
TL03 INCYBER Augmenter gratuitement l’efficacité de votre pare feu contre les menaces extérieures.

TL03 INCYBER Augmenter gratuitement l’efficacité de votre pare feu contre les menaces extérieures.

artia13