Dans l'aviation, le niveau de la sécurité est plus haut que la moyenne

David Callebaut, Chief Information Security Officer (CISO), Brussels Airlines 

Dans le secteur de l'aviation, la cybersécurité a pris un essor remarquable au cours de la dernière décennie. La nomination d'un Chief Information Security Officer, ou CISO en abrégé, au sein de notre fierté aérienne nationale Brussels Airlines en témoigne. Non pas que la lutte contre les cybercriminels soit négligée dans les autres secteurs. Seulement que l'aspect sécurité est littéralement vital dans l'industrie aéronautique.   

Brussels Airlines fête cette année son 20e anniversaire. Aujourd'hui, la compagnie aérienne nationale belge est détenue à 100 % par Deutsche Lufthansa AG. En tant que l'une des quatre compagnies aériennes du réseau du groupe Lufthansa, elle relie la capitale européenne depuis l'aéroport de Bruxelles à plus de 85 destinations dans le monde, dont 17 en Afrique subsaharienne. La compagnie emploie 3 200 personnes et exploite 40 avions.   

Pour ceux qui ne sont pas encore familiers avec le terme, en quoi consiste exactement le rôle de CISO ?   

David Callebaut : "En tant que CISO de Brussels Airlines, j'ai une double responsabilité. D'une part, localement, chez Brussels Airlines même, je suis responsable en dernier ressort de tout ce qui concerne la sécurité de l'information et la cybersécurité. Cela inclut la stratégie globale et tous les projets concrets qui s'y rapportent, ainsi que le suivi et le reporting à la direction locale. D'autre part, je rends également compte de tout cela au groupe Lufthansa. Chez Brussels Airlines, à son tour, je fais rapport au CIO. J'ai moi-même une expérience dans le domaine des TIC. Je suis informaticien de formation et j'ai fait mes premiers pas professionnels dans le monde des TIC. Mais très vite, j'ai suivi ma passion pour la sécurité. Et entre-temps, cela fait quand même près de 20 ans que j'occupe divers postes dans le domaine de la sécurité."   

En tant que CISO, dirigez-vous également votre propre équipe sur laquelle vous pouvez vous appuyer ?   

"Oui, en effet. En ce moment, je peux compter sur environ cinq employés travaillant à plein temps sur la sécurité, principalement dans les analyses de sécurité et la gestion de la conformité. En outre, je peux toujours faire appel à des collègues de l'équipe informatique de Brussels Airlines. Et puis, il y a la forte synergie avec le groupe Lufthansa. Il compte plus d'une centaine de profils de sécurité, dont un certain nombre d'experts approfondis. Cette base de connaissances supplémentaire est très pratique."   

En matière de sécurité aérienne, il n'y a pas de marge d’erreur.

David Callebaut

Viser le risque zéro   

Dans quelle mesure la cybercriminalité et la cyberguerre sont-elles vraiment un problème dans le secteur de l'aviation aujourd'hui ?   

"Ces deux dangers comptent certainement comme un sujet brûlant au sein de notre activité, pour la simple raison que nous jouons un rôle crucial dans le transport des personnes. Si ce trafic de passagers s'arrête soudainement, nous pouvons heureusement nous rabattre sur des solutions provisoires. Pendant la pandémie, par exemple, beaucoup d'entre nous ont appris à organiser des réunions à distance, via Microsoft Teams par exemple. Mais il ne s'agit pas d'alternatives permanentes et à part entière. Nous pensons tous que, que ce soit pour le travail ou par pur plaisir, nous avons toujours besoin de faire ce déplacement physique de temps en temps. Si cette option disparaît, nous avons de sérieux problèmes. Et je ne parle pas seulement de nous en tant qu'entreprise commerciale, mais de la société dans son ensemble."   

Quelles sont les menaces les plus importantes ou les plus courantes pour votre organisation ?   

Je soupçonne que nous ne sommes pas si différents de la plupart des autres entreprises, en Belgique ou à l'étranger, à cet égard. Les classiques, pour nous aussi, restent le phishing , les ransomwares et les attaques DDOS. Ces types de menaces courantes présentent également les plus grands risques. Là où nous nous distinguons des autres entreprises et secteurs, c'est dans l'impact potentiel d'une telle cyber-attaque. Si le moteur d'une voiture tombe en panne, cette voiture va caler et, au pire, créer un embouteillage désagréable. Si le moteur d'un avion tombe en panne, c'est une toute autre histoire. Cela explique immédiatement pourquoi il existe une si forte convergence entre la sûreté et la sécurité dans l'aviation. Bien que je doive immédiatement ajouter qu'il est aujourd'hui absolument impossible d'influencer à distance un moteur d'avion. Le lien entre les systèmes informatiques et les systèmes purement opérationnels - comme les moteurs - n'existe pas aujourd'hui. Le fonctionnement technique des avions n'est pas le domaine de l'équipe de sécurité informatique. Mais en même temps, nous sommes des parties impliquées. Nous sommes chargés de la sécurité informatique pour que ces services techniques puissent faire leur travail. Ou, pour le dire autrement, la sécurité de ceux qui montent dans un avion n'est pas entre les mains des informaticiens. Dans l'aviation, l'aspect sécurité physique prime invariablement sur la sécurité informatique et cybernétique. Après tout, vous ne pouvez pas vous attendre à ce que les clients montent à bord d'un avion sans être sûr à cent pour cent que l'appareil en question est sûr. Par conséquent, en matière de sécurité aérienne, il n'y a pas de marge d’erreur. Alors que dans, disons, un environnement TIC, vous autoriseriez plus de risques ou du moins accepteriez ce risque pour l'instant, en attendant une solution.   

Le monde connecté   

Quelle évolution vous préoccupe le plus aujourd'hui ?  

"La connectivité accrue. Il y a encore une dizaine d'années, ce n'était pas un problème : les avions n'étaient pas connectés à toutes sortes de réseaux. Vous ne pouviez donc pas non plus y accéder à distance - électroniquement, j'entends. Il fallait vraiment être déjà physiquement présent dans l'avion pour obtenir un quelconque accès aux systèmes de bord. Mais la dernière décennie a vu une tendance générale à tout connecter à tout, et de préférence via l'internet. Le secteur de l'aviation n'échappe pas non plus à cette tendance irrésistible. C'est pourquoi, non seulement chez Brussels Airlines, mais aussi au niveau du groupe, nous consacrons beaucoup d'attention et d'énergie à sécuriser ce nouvel environnement connecté. De cette manière, nous nous assurons d'accompagner cette évolution de manière contrôlée et réfléchie, ce qui offre bien sûr aussi de nombreux avantages."   

Dans la guerre entre la Russie et l'Ukraine, la cyberguerre prend une place prépondérante des deux côtés. Cela représente-t-il un risque pour Brussels Airlines ?  

"Nous surveillons la situation au niveau du groupe. Actuellement, nous ne voyons pas de menace directe pour notre organisation dans ce conflit."   

Vous avez de l'expérience dans différents secteurs. Le secteur de l'aviation est-il plus préoccupé par la sécurité ? Le niveau est-il plus haut ?   

"Je pense que oui. Le niveau est plus haut que dans la moyenne des autres secteurs, à l'exception peut-être du secteur financier. Mais celui-ci est victime d'attaques depuis très longtemps."    

La cyberguerre est également révélatrice de l'évolution de la sécurité. C'est l'éternelle bataille entre les attaquants et les fournisseurs de sécurité.   

"C'est vrai. En général, au cours de ma carrière, je n'ai vu le monde que devenir plus complexe. La complexité des systèmes informatiques et des processus commerciaux a énormément augmenté. Et ironiquement, cette complexité même contribue à ce que la souris proverbiale parvienne toujours à passer entre les mailles du filet, d'une manière ou d'une autre. C'est alors que le chat proverbial - c'est-à-dire nous - doit chasser cette souris encore et encore. Mais je mentirais si je prétendais que cet éternel jeu du chat et de la souris ne rend pas aussi notre travail passionnant jour après jour". (rires) 

Dries Van Damme a plus de 20 ans d’expérience en tant que journaliste TIC. Il a publié des articles dans, entre autres, Data News et est le gérant de l’agence de rédaction Bureau 44.

Lire plus sur la cyberguerre ?