Pas moins de quatre attaques informatiques majeures ont touché des sous-traitants d’Airbus au cours des 12 derniers mois, explique l’AFP en citant des « sources sécuritaires ». Parmi les sociétés touchées, outre le motoriste Rolls-Royce, il y a le groupe français de conseil en technologies Expleo (ex-Assystem) dont l’attaque a été découverte à la fin de l’année 2018. Mais l’infection est plus ancienne et visait le VPN (réseau privé virtuel) reliant l’entreprise à Airbus. L’accès à ce tunnel sécurisé donne la capacité de dérober des documents et des données sensibles.
L’attribution de ces attaques est toujours un point délicat. Plusieurs sources affectent l’offensive à un groupe de pirates chinois APT 10, mais d’autres s’orientent plutôt vers un autre groupe chinois baptisé JSSD, lié au ministère de la sécurité de l’Etat et ayant comme spécialité l’aéronautique. Mais la vérité est peut-être ailleurs. En tout cas, l’intérêt des cyber-espions portait sur différents sujets : des documents techniques de certification, des données sur la motorisation de l'avion de transport militaire A400M, ainsi que celle de l’A350.
La sécurité de la supply chain à renforcer
Ce n’est pas la première fois que Airbus est victime de cyberattaques, mais elles montrent un point de faiblesse de plus en plus exploité par les cybercriminels : la supply chain. Depuis plus d’un an, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) alerte sur le sujet de la sécurité des partenaires, des fournisseurs, des prestataires. Ils sont devenus les maillons faibles de la sécurité dans la chaîne de la valeur. En tant qu’OIV (opérateur d’importance vitale), les grandes entreprises comme Airbus ont renforcé leur sécurité, mais les sous-traitants, souvent des PME-PMI, n’ont pas les moyens, ni la capacité d’atteindre ce niveau de protection.
Florence Parly, ministre des Armées, est consciente de cette problématique, « une chose est sûre, plus les Armées se protègent, plus les industriels, les sous-traitants sont susceptibles d’être des proies toutes désignées pour pénétrer dans nos systèmes d’information. Alors, c’est toute une chaîne de défense qui doit être protégée de bout en bout », expliqua-t-elle au FIC à Lille au début de l’année 2019. Elle avait ajouté, « Nous devons enfin réfléchir à comment aider et protéger efficacement notre chaîne de sous-traitance. Nous ne pouvons pas les laisser devenir les chevaux de Troie de nos adversaires. Il faudra donc les soutenir, à la fois en méthode et en technique. Il nous faudra aussi être extrêmement exigeant et imposer dans les critères d’achat des clauses sur la cybersécurité ». L’ANSSI est sur la même ligne en insistant sur la sensibilisation et la prise en compte de la gestion du risque par les sous-traitants. Le sujet de la sécurité de la supply chain risque d’être au cœur des débats des Assises de la Sécurité à Monaco qui se déroulent début octobre.