SDBR News : Thales a souligné, dans son dernier rapport dédié aux cybermenaces dans le secteur de l’Aérien, une hausse de 600% des cyber-attaques en un an ! Quelle est la raison de cette hausse considérable ?

Ivan Fontarensky* : Les équipes de Cyber Threat Intelligence de Thales ont constaté un phénomène global: un nombre croissant de fuites de données et, dans le même temps, une augmentation des flux de données quels que soient les secteurs. Le secteur aéronautique est particulièrement impacté, car ce secteur réunit un grand nombre de fournisseurs et une « supply chain » importante ! Nous observons un grand volume de données ciblées dans ce secteur ; nous avons dénombré près de  300 groupes d’attaquants, avec 27 incidents majeurs relevés entre janvier 2024 et avril 2025. « Majeur » signifie que l’impact d'une interruption engendre un coût significatif: nous ne sommes pas capables d'identifier à chaque fois le montant de l'incident, mais nous l'estimons relativement important s’il se traduit par des pertes dans la conduite de l'activité et/ou par des interruptions de service. Ces fuites de données peuvent aussi cacher de l’espionnage, de l’espionnage industriel voire de l’espionnage diplomatique. Nous estimons que l’incident est majeur quand il y a un vrai impact financier ou s’il concerne des compagnies aériennes, des aéroports, des systèmes de navigation ou encore des fournisseurs.

SDBR News : Vous mettez l’éclairage sur des groupes d’attaquants russes. N’y a-t’il donc que les Russes qui attaquent?

Ivan Fontarensky : Nos recherches montrent une activité cybercriminelle russe significative et des menaces générales pesant sur le secteur de l’aviation. Des groupes comme « Scattered Spider » ont ciblé le secteur aérien, au moyen de tactiques d'ingénierie sociale, et de nombreux groupes de rançongiciels ont causé des perturbations importantes.

Au-delà des acteurs russes, plusieurs types de groupes sont actifs : des acteurs étatiques comme la Corée du Nord (Moonstone Sleet), la Chine et l’Iran mènent des activités de cyber espionnage et ciblent les infrastructures critiques.

Moins sophistiqués mais potentiellement perturbateurs, des groupes activistes sont motivés par des objectifs politiques ou sociaux : « Altoufan Team »** est un exemple ayant annoncé des attaques contre Gulf Air.

Parfois, nous identifions des groupes d’origine étatique qui utilisent un ransomware pour camoufler leur principale activité : l’espionnage ou la perturbation de réseaux critiques. Nous avons pu relever depuis 1 an différents types « d’exploit »*** : interférence sur la précision des systèmes radio de navigation, binarités qui apparaissent, attaques sur des intégrateurs des systèmes visés, attaques sur les systèmes vidéo ou sur des systèmes de contrôle d’accès d’infrastructures aéroportuaires, attaques sur le ticketing, etc. Certains sont très « travaux académiques », d’autres non …

SDBR News : Est-ce que ces menaces cyber peuvent avoir des impacts sur les systèmes de vol des avions?

Ivan Fontarensky : Les systèmes aéronautiques qui relèvent de la sûreté de fonctionnement, la « safety », sont tous certifiés selon des normes strictes et il n'y a aucun compromis sur leur sécurité. Ce que nous observons cependant, c'est un phénomène global lié à l'accélération des processus de développement et de validation sur des systèmes annexes. Cette pression, pour mettre rapidement des produits sur le marché, peut parfois conduire à des vulnérabilités qui ne devraient pas être présentes. Cependant, il est important de préciser que ces vulnérabilités sont systématiquement identifiées, étudiées et traitées dans un cadre rigoureux, conformément aux procédures du secteur.

Lorsqu'une vulnérabilité est détectée, elle fait l'objet d'une analyse approfondie pour en évaluer l'impact et les mesures correctives ou de mitigation sont mises en place.

Aussi, une fois qu'une vulnérabilité est connue, il peut y avoir un certain délai avant que la solution définitive ne soit déployée, ce qui peut prolonger la période pendant laquelle la vulnérabilité persiste dans le système. Dans un secteur comme l'aéronautique, où les cycles de développement sont longs et où la durée de vie des composants est étendue, cela peut effectivement augmenter la surface d'attaque et la possibilité de cyberattaques. Toutefois, cela ne remet pas en cause la sécurité globale des systèmes de vol, qui reste soumise à des exigences de certification strictes et à un suivi constant.

SDBR News : Donc, le risque majeur ne vient-il pas d’un mode de fonctionnement qui n'est pas bon?

Ivan Fontarensky : Chez Thales, nous assurons la sécurité tout au long de la chaîne, en intégrant des phases de validation rigoureuses et en appliquant le principe du Zero Trust. Nous procédons à une analyse complète de la chaîne, en traitant les risques de manière proactive. Notre approche minimise les interfaces et inclut des tests unitaires pour garantir la sécurité dès la conception.

Nous appliquons le principe "Secure by Design, Secure by Default, Secure in Operations", en intégrant la sécurité dès la conception. Nous configurons les systèmes de manière sécurisée par défaut et assurons des contrôles stricts durant l'exploitation. Avec le Zero Trust, nous validons systématiquement chaque utilisateur et service, limitant ainsi les risques de cyberattaques.

Cette approche garantit la sécurité et la conformité des systèmes à chaque étape de leur cycle de vie.

SDBR News : Finalement, le secteur aérien est-il aussi ou moins protégé que les autres ?

Ivan Fontarensky : Le secteur aérien bénéficie d'une forte protection en termes de safety, avec des systèmes critiques certifiés pour garantir la sécurité des vols. Toutefois, la sécurité aérienne ne se limite pas à la safety. L'industrie présente une surface d'attaque importante en raison de la diversité des acteurs impliqués.

Les systèmes liés à la billetterie, à la gestion des passagers et des vols peuvent également être vulnérables. L’incident aux conséquences à l’échelle mondiale, généré par Crowdstrike en juillet 2024, a surtout paralysé des systèmes d’affichage dans les aéroports ou les compagnies aériennes, avec la perturbation du trafic aérien en Amérique du Nord, mais pas n’a pas eu d’effet sur la sûreté de fonctionnement des avions. Bien que les systèmes de vol soient sécurisés, les multiples interfaces entre acteurs constituent néanmoins des points d'entrée pour des cyberattaques.

SDBR News : Est-ce une façon déguisée de pointer du doigt les « petits » qui font la supply chain ?

Ivan Fontarensky : Tout le monde est concerné, quelle que soit la taille de l’organisation. Ceci dit, c'est une bonne question et la supply chain fait partie de nos sujets d’attention. Cela fait plusieurs années que Thales a lancé un programme de renforcement de la sécurité de l’ensemble de sa supply chain.

SDBR News : Face à ce vrai risque cyber pour l’aéronautique, Thales a-t-elle une offre dédiée ?

Ivan Fontarensky : En tant que leader des hautes technologies dans l’aéronautique, le spatial, la défense, la cyber et le digital, Thales dispose de solutions dédiées à ce secteur pour protéger tous les acteurs, du passager à l’aéroport en passant par la compagnie aérienne et le constructeur, notamment en développant des produits cyber-sécurisés dès la conception.

Il est crucial d'adopter une approche proactive, en intégrant des solutions de cybersécurité tout au long de la chaîne de valeur. Cela implique la mise en place de contrôles stricts d'accès aux données et de vérification des tiers, notamment à travers l’utilisation de solutions d’authentification renforcée et de chiffrement. En parallèle, il est essentiel de former les acteurs de la chaîne à la cybersécurité et à la gestion des risques, tout en garantissant une surveillance continue des systèmes. Enfin, le recours à des technologies souveraines et à des infrastructures locales peut renforcer la résilience et la protection contre les menaces externes.

SDBR News : Quelles sont donc vos recommandations ?

Ivan Fontarensky : Nous partageons trois recommandations avec nos clients et partenaires :

• La question n’est pas de savoir s’ils subiront une attaque cyber mais quand et, en ce cas, mieux vaut prévenir que guérir.  “Cybersecurity is not the absence of danger, but the constant awareness of its presence” : la cybersécurité n’est pas l’absence du danger, mais la conscience d’une menace permanente. D’autant que la jeune génération qui arrive sur le marché du travail n'a pas vraiment conscience que, dans un monde connecté, le risque est partout. Nous constatons dans le même temps que les bonnes pratiques ont disparu.

• La deuxième recommandation concerne la détection et sa métamorphose. Auparavant, les organisations disposaient de SOC et d’analystes. Aujourd’hui nous proposons des SOC augmentés par l’IA, à la fois plus réactifs et semi-autonomes. Les analystes interviennent dorénavant sur des missions à plus haute valeur ajoutée de réponse à incident. Cela permet plus d’agilité et une plus grande réactivité pour répondre aux attaques.

• Enfin, l’enjeu de la cybersécurité est celui de la résilience : optimiser la détection au plus tôt grâce aux Centres opérationnels de cybersécurité (SOC) dopés à l’IA; optimiser la reconstruction grâce à la préparation d’un plan d’action et une exécution parfaite pour minimiser les perturbations.

Je reste persuadé que nous devons bénéficier d’une situation la plus globale possible de la Menace.

C’est ce que nous construisons avec Imperva, en matière de détection des menaces contre les APIs et de réponse à ces menaces. Mais nous aurons l’occasion d’en reparler à la rentrée…

—————

*Ivan Fontarensky est directeur technique activités de services en cybersécurité chez Thales.

Le rapport est consultable ici : https://lp.thalesgroup.com/threatintelligenceaviation

** ALTOUFAN TEAM est un groupe hacktiviste à motivation politique, avec des sentiments antisionistes, antimonarchiques et pro-14 février (soulèvement à Bahreïn le 14 février 2011).

***Un exploit informatique est un type de malware qui profite des bogues ou des vulnérabilités, que les cybercriminels utilisent pour obtenir un accès illicite à un système.