Safran renforce ses compétences en cybersécurité

 

Au sol ou en vol, les avions échangent de plus en plus de données avec leur environnement extérieur : satellites, aéroports, compagnies aériennes… Sans oublier les dispositifs de divertissement en vol (vidéos, internet, etc.) proposés aux passagers. Dans un contexte de menace terroriste, ce sont autant de risques d’attaques auxquels les industriels doivent se préparer. « Plus il y a de données échangées, plus il est nécessaire de sécuriser les systèmes qui font transiter les informations, estime Frédéric Gourjault, responsable Sécurité des systèmes d’information de Safran. Il s’agit non seulement de protéger l’intégrité des données embarquées, mais aussi d’éviter qu’un individu puisse interférer avec les commandes de vol – pour prendre les commandes de l’avion à distance ou modifier son plan de vol, par exemple. Sans oublier les menaces qui pourraient frapper nos usines de production, de plus en plus digitalisées. »

 

La menace évolue

Du fait de la nature de ses produits (systèmes de commande de vol, de navigation, de régulation moteur, de freinage et d’atterrissage, etc.), Safran Electronics & Defense est particulièrement en pointe en matière de cybersécurité. « En 30 ans de métier, j’ai vu la menace évoluer, raconte Christian Haury, qui pilote l’équipe Cybersécurité de la société. Avant les années 2000 et l’entrée en service de l’Airbus A380, les avions étaient peu connectés. Depuis, ils le sont de plus en plus et nous devons constamment anticiper les risques, dès le début de nos développements. » Son équipe, appelée à se renforcer, comporte déjà une douzaine d’architectes systèmes seniors, particulièrement au fait des problématiques de cybersécurité. D’autres compétences orientées cybersécurité sont également réparties dans les business units : spécialistes des réseaux sécurisés, développeurs logiciels, concepteurs de boîtiers de calculateurs, etc.

 

Une équipe pluridisciplinaire

En central, le Groupe dispose lui aussi d’une équipe d’experts aux compétences pointues : systèmes d’exploitation, réseaux, bases de données, « forensics » (investigations menées suite à une intrusion informatique), cryptographie, cloud, sécurité des systèmes embarqués… Leur rôle : accompagner la montée en maturité des sociétés du Groupe et mettre à leur disposition des ressources mutualisées, comme une nouvelle plateforme de sécurisation des développements logiciels, qui permet de rendre ces derniers plus résistants aux attaques. « Il n’y a pas un mais des métiers de la cybersécurité, résume Frédéric Gourjault. Notre Groupe a besoin d’une équipe forte et multidisciplinaire, en central et dans les sociétés. De nombreux postes sont à pourvoir dès aujourd’hui et dans les mois à venir. »

 

Protéger l’intégrité des sites

Si tous les produits de Safran sont concernés, les installations du Groupe sont elles aussi menacées. Deux dispositifs dédiés à leur protection sont en train de monter en puissance et recrutent. Il s’agit du SOC¹, une équipe composée d’analystes chargés de détecter tout événement de sécurité dans les sites du Groupe et d’intervenir dans les plus brefs délais, et d’une nouvelle équipe chargée de protéger les usines contre une éventuelle cyberattaque contre les machines de production.

 

Rester en veille

Parce que le marché évolue vite, les spécialistes Safran de la cybersécurité mènent une veille permanente, notamment sur les salons et conférences spécialisés : Forum International de la Cybersécurité, European Cyber Week… Ils participent aussi aux deux grandes instances de normalisation que sont l’EUROCAE² et le RTCA³, ainsi qu’à des cercles d’échanges entre professionnels (CCTA⁴, club EBIOS⁵…). « Nous sommes en contact régulier avec des start-up pour bénéficier de leur potentiel d’innovation, ajoute Christian Haury, ainsi qu’avec des écoles et des laboratoires actifs dans le domaine de la cybersécurité : université de Cergy-Pontoise, UTC⁶, Esisar⁷, Telecom Paris, ENSEA⁸… » Une façon de présenter les besoins du Groupe et de détecter de futurs talents pour renforcer ses équipes !

 

1 Security Operations Center (Centre de Sécurité des Opérations).

2 European Organisation for Civil Aviation Equipment (Organisation européenne pour l’équipement de l’aviation civile)

3 Radio Technical Commission for Aeronautics (Commission technique radio pour les services aériens).

4 Conseil pour la Cybersécurité du Transport Aérien, créé en France en 2018 dans le cadre des Assistes nationales du transport aérien pour mieux coordonner les acteurs du secteur.

5 Méthode d’évaluation des risques en informatique recommandée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

6 Université de Technologie de Compiègne.

7 École nationale supérieure en systèmes avancés et réseaux. 

8 École nationale supérieure de l'électronique et de ses applications.